ROAMINGMOUSE Malware
رُبط مؤخرًا فاعل تهديد تابع لدولة، يُعرف باسم MirrorFace، بحملات تجسس إلكتروني تستهدف جهات حكومية ومؤسسات عامة في اليابان وتايوان. يعمل هذا الفاعل، المتحالف مع الصين والمعروف أيضًا باسم Earth Kasha، كمجموعة فرعية ضمن APT10 . واعتبارًا من مارس 2025، كشف باحثو الأمن عن تفاصيل جديدة حول أنشطة المجموعة، بما في ذلك استخدامها لأدوات برمجيات خبيثة متطورة للتجسس.
جدول المحتويات
عملية أكاي ريو: كشف هجوم سابق
بالإضافة إلى العمليات الجارية في اليابان وتايوان، كانت Earth Kasha أيضًا وراء عملية AkaiRyū، وهو هجوم إلكتروني استهدف منظمة دبلوماسية في الاتحاد الأوروبي في أغسطس 2024. تضمنت هذه العملية نشر الباب الخلفي ANEL، المعروف أيضًا باسم UPPERCUT، مما يسلط الضوء على التكتيكات المتطورة للفاعل في الحصول على وصول غير مصرح به إلى أهداف حساسة.
استراتيجية الهجوم: سلسلة خادعة من البرمجيات الخبيثة
تبدأ عملية MirrorFace برسائل بريد إلكتروني احتيالية، بعضها مُرسل من حسابات شرعية مُخترقة. تحتوي هذه الرسائل على رابط Microsoft OneDrive تالف، وبمجرد النقر عليه، يُنزّل ملف ZIP. داخل أرشيف ZIP، يُستخدم مستند Excel وأداة إرسال مُفعّلة بوحدات الماكرو تُسمى ROAMINGMOUSE كوسيلة توصيل للبرمجية الخبيثة. تقوم أداة ROAMINGMOUSE، التي تستخدمها MirrorFace منذ العام الماضي، بفك تشفير ملف ZIP إضافي وإسقاطه، والذي يحتوي على العديد من المكونات الضارة.
المكونات الرئيسية لإسقاط البرامج الضارة:
- JSLNTOOL.exe، أو JSTIEE.exe، أو JSVWMNG.exe: ملفات ثنائية شرعية
- JSFC.dll (ANELLDR): ملف DLL ضار
- حمولة ANEL المشفرة: الباب الخلفي الرئيسي
- MSVCR100.dll: اعتماد DLL شرعي
بمجرد إسقاطه، يستخدم البرنامج الخبيث explorer.exe لتشغيل ملف قابل للتنفيذ شرعي، ويقوم بتحميل الباب الخلفي ANEL من خلال DLL الاحتيالي، ANELLDR.
ميزات مُحسّنة في ANEL: عصر جديد من التجسس الإلكتروني
يتضمن الباب الخلفي ANEL المُستخدم في حملة 2025 ترقيةً هامة: أمر جديد يدعم تنفيذ ملفات كائنات Beacon (BOFs) في الذاكرة. ملفات BOF هي برامج C صغيرة مُصممة لتوسيع قدرات عميل Cobalt Strike ، مما يُعزز ميزات ما بعد الاستغلال. بمجرد تثبيته، يُمكّن الباب الخلفي Earth Kasha من التقاط لقطات شاشة، وفحص بيئة الضحية، وجمع قوائم العمليات ومعلومات النطاق لمزيد من الاستغلال.
الاستفادة من SharpHide وNOOPDOOR
في بعض الحالات، استخدم مُخرِجو Earth Kasha أداة SharpHide، وهي أداة مفتوحة المصدر، لإطلاق إصدار جديد من الباب الخلفي NOOPDOOR (المعروف أيضًا باسم HiddenFace). صُمم هذا الباب الخلفي لتجنب الكشف من خلال دعم DNS-over-HTTPS (DoH)، مما يُساعد على إخفاء عمليات البحث عن عناوين IP المُستخدمة في اتصالات الأوامر والتحكم (C2).
التهديد المستمر واليقظة مطلوبة
لا يزال برنامج Earth Kasha يُشكل تهديدًا نشطًا ومستمرًا يستهدف الأصول عالية القيمة، بما في ذلك البيانات الحكومية الحساسة، والملكية الفكرية، وبيانات اعتماد الوصول. يجب على الشركات والمؤسسات، وخاصةً تلك العاملة في قطاعات الحوكمة والبنية التحتية، مواصلة تطبيق تدابير أمن سيبراني فعّالة للحماية من هذه الهجمات المتقدمة والمستمرة.
