Malware ROAMINGMOUSE
Národní hrozba známá jako MirrorFace byla nedávno spojována s kybernetickými špionážními kampaněmi zaměřenými na vládní agentury a veřejné instituce v Japonsku a na Tchaj-wanu. Tato hrozba, spojená s Čínou a známá také jako Earth Kasha, působí jako podskupina v rámci APT10 . V březnu 2025 bezpečnostní výzkumníci odhalili nové podrobnosti o aktivitách této skupiny, včetně používání pokročilých malwarových nástrojů pro špionáž.
Obsah
Operace AkaiRyū: Odhalení předchozího útoku
Kromě probíhajících operací v Japonsku a na Tchaj-wanu stála Earth Kasha také za operací AkaiRyū, kybernetickým útokem zaměřeným na diplomatickou organizaci v Evropské unii v srpnu 2024. Tato operace zahrnovala nasazení zadních vrátek ANEL, známých také jako UPPERCUT, což zdůrazňuje sofistikovanou taktiku aktéra při získávání neoprávněného přístupu k citlivým cílům.
Strategie útoku: Klamavý řetězec malwaru
Operace MirrorFace začíná phishingovými e-maily, některé odeslanými z napadených legitimních účtů. Tyto e-maily obsahují poškozenou URL adresu Microsoft OneDrive, na kterou se po kliknutí stáhne soubor ZIP. Uvnitř archivu ZIP slouží jako doručovací nástroj malwaru dokument aplikace Excel a nástroj s makry a kódovým označením ROAMINGMOUSE. Nástroj ROAMINGMOUSE, který MirrorFace používá od loňského roku, dekóduje a stáhne další soubor ZIP, který obsahuje několik škodlivých komponent.
Klíčové komponenty odstraňování malwaru:
- JSLNTOOL.exe, JSTIEE.exe nebo JSVWMNG.exe: Legitimní binární soubory
- JSFC.dll (ANELLDR): Škodlivá knihovna DLL
- Šifrovaný ANEL Payload: Hlavní zadní vrátka
- MSVCR100.dll: Závislost legitimní knihovny DLL
Jakmile je malware nainstalován, použije explorer.exe ke spuštění legitimního spustitelného souboru a nainstaluje zadní vrátka ANEL prostřednictvím podvodné knihovny DLL ANELLDR.
Vylepšené funkce v ANEL: Nová éra kybernetické špionáže
Backdoor ANEL použitý v kampani z roku 2025 obsahuje významnou aktualizaci: nový příkaz, který podporuje spouštění objektových souborů Beacon (BOF) v paměti. BOFy jsou malé programy v jazyce C určené k rozšíření možností agenta Cobalt Strike a vylepšení funkcí po zneužití. Po instalaci umožňuje backdoor agentovi Earth Kasha pořizovat snímky obrazovky, prozkoumávat prostředí oběti a shromažďovat seznamy procesů a informace o doménách pro další zneužití.
Využití SharpHide a NOOPDOOR
V některých případech útočníci stojící za Earth Kasha využili SharpHide, nástroj s otevřeným zdrojovým kódem, ke spuštění nové verze backdooru NOOPDOOR (známého také jako HiddenFace). Tento backdoor byl navržen tak, aby se vyhnul odhalení podporou DNS-over-HTTPS (DoH), což pomáhá skrýt vyhledávání IP adres používaných pro komunikaci Command-and-Control (C2).
Je nutná neustálá hrozba a ostražitost
Earth Kasha zůstává aktivní a přetrvávající hrozbou zaměřenou na vysoce hodnotná aktiva, včetně citlivých vládních dat, duševního vlastnictví a přístupových údajů. Podniky a organizace, zejména ty v odvětvích souvisejících se správou věcí veřejných a infrastrukturou, musí i nadále zavádět robustní kybernetická bezpečnostní opatření, aby se před těmito pokročilými a přetrvávajícími útoky chránily.
