Зловреден софтуер ROAMINGMOUSE
Държавна хакерска група, известна като MirrorFace, наскоро беше свързана с кибершпионски кампании, насочени към правителствени агенции и публични институции в Япония и Тайван. Тази хакерска група, свързана с Китай и известна още като Earth Kasha, действа като подклъстер в рамките на APT10 . Към март 2025 г. изследователи по сигурността разкриха нови подробности за дейността на групата, включително използването на усъвършенствани инструменти за зловреден софтуер за шпионаж.
Съдържание
Операция AkaiRyū: Разкрита предишна атака
В допълнение към текущите операции в Япония и Тайван, Earth Kasha стои и зад операция AkaiRyū, кибератака, насочена срещу дипломатическа организация в Европейския съюз през август 2024 г. Тази операция включваше внедряването на задната врата ANEL, известна още като UPPERCUT, което подчертава сложните тактики на участника за получаване на неоторизиран достъп до чувствителни цели.
Стратегия за атака: Подвеждаща верига от зловреден софтуер
Операцията на MirrorFace започва с фишинг имейли, някои от които са изпратени от компрометирани легитимни акаунти. Тези имейли съдържат повреден URL адрес на Microsoft OneDrive, който, след като бъде щракнат, изтегля ZIP файл. Вътре в ZIP архива, Excel документ и програма за пускане с активирани макроси с кодово име ROAMINGMOUSE служат като средство за доставка на зловредния софтуер. ROAMINGMOUSE, използван от MirrorFace от миналата година, декодира и пуска допълнителен ZIP файл, който съдържа няколко злонамерени компонента.
Ключови компоненти на системата за премахване на зловреден софтуер:
- JSLNTOOL.exe, JSTIEE.exe или JSVWMNG.exe: Легитимни двоични файлове
- JSFC.dll (ANELLDR): Злонамерен DLL файл
- Криптиран ANEL полезен товар: Главната задна вратичка
- MSVCR100.dll: Легитимна DLL зависимост
След като бъде инсталиран, зловредният софтуер използва explorer.exe, за да стартира легитимен изпълним файл, като зарежда ANEL backdoor чрез измамната DLL библиотека ANELLDR.
Подобрени функции в ANEL: Нова ера на кибершпионажа
Задната вратичка на ANEL, използвана в кампанията от 2025 г., включва значително подобрение: нова команда, която поддържа изпълнение в паметта на Beacon Object Files (BOF). BOF са малки C програми, предназначени да разширят възможностите на агента Cobalt Strike , подобрявайки функциите след експлоатация. След инсталиране, задната вратичка позволява на Earth Kasha да прави екранни снимки, да изследва средата на жертвата и да събира списъци с процеси и информация за домейни за по-нататъшна експлоатация.
Използване на SharpHide и NOOPDOOR
В някои случаи, злонамерените лица, стоящи зад Earth Kasha, са използвали SharpHide, инструмент с отворен код, за да пуснат нова версия на задната вратичка NOOPDOOR (известна също като HiddenFace). Тази задна вратичка е проектирана да избягва откриването, като поддържа DNS-over-HTTPS (DoH), което помага да се скрият търсенията на IP адреси, използвани за комуникация Command-and-Control (C2).
Необходими са постоянна заплаха и бдителност
Earth Kasha остава активна и постоянна заплаха, насочена към ценни активи, включително чувствителни правителствени данни, интелектуална собственост и данни за достъп. Предприятията и организациите, особено тези в сектори, свързани с управлението и инфраструктурата, трябва да продължат да прилагат надеждни мерки за киберсигурност, за да се предпазят от подобни напреднали, постоянни атаки.
