ROAMINGMOUSE-malware
En trusselsaktør i en nationalstat kendt som MirrorFace er for nylig blevet forbundet med cyberspionagekampagner rettet mod regeringsorganer og offentlige institutioner i Japan og Taiwan. Denne aktør, der er tilknyttet Kina og også kendt som Earth Kasha, opererer som en underklynge inden for APT10 . Fra marts 2025 afslørede sikkerhedsforskere nye detaljer om gruppens aktiviteter, herunder deres brug af avancerede malwareværktøjer til spionage.
Indholdsfortegnelse
Operation AkaiRyū: Et tidligere angreb afsløret
Udover de igangværende operationer i Japan og Taiwan stod Earth Kasha også bag Operation AkaiRyū, et cyberangreb rettet mod en diplomatisk organisation i Den Europæiske Union i august 2024. Denne operation involverede implementeringen af ANEL-bagdøren, også kendt som UPPERCUT, hvilket fremhæver aktørens sofistikerede taktikker til at opnå uautoriseret adgang til følsomme mål.
Angrebsstrategi: En vildledende kæde af malware
MirrorFace -operationen starter med spear-phishing-e-mails, hvoraf nogle sendes fra kompromitterede legitime konti. Disse e-mails indeholder en beskadiget Microsoft OneDrive-URL, som, når den klikkes på, downloader en ZIP-fil. Inde i ZIP-arkivet fungerer et Excel-dokument og en makroaktiveret dropper med kodenavnet ROAMINGMOUSE som leveringsmiddel for malwaren. ROAMINGMOUSE, som MirrorFace har brugt siden sidste år, afkoder og sletter en yderligere ZIP-fil, som indeholder flere skadelige komponenter.
Nøglekomponenter i Malware Drop:
- JSLNTOOL.exe, JSTIEE.exe eller JSVWMNG.exe: Legitime binære filer
- JSFC.dll (ANELLDR): En skadelig DLL
- Krypteret ANEL-nyttelast: Den primære bagdør
- MSVCR100.dll: En legitim DLL-afhængighed
Når malwaren er fjernet, bruger den explorer.exe til at starte en legitim eksekverbar fil og sideloader ANEL-bagdøren gennem den falske DLL, ANELLDR.
Forbedrede funktioner i ANEL: En ny æra inden for cyberspionage
ANEL-bagdøren, der blev brugt i 2025-kampagnen, inkluderer en betydelig opgradering: en ny kommando, der understøtter in-memory-udførelse af Beacon Object Files (BOF'er). BOF'er er små C-programmer designet til at udvide Cobalt Strike- agentens muligheder og forbedre funktionerne efter udnyttelse. Når bagdøren er installeret, gør den det muligt for Earth Kasha at tage skærmbilleder, undersøge offerets miljø og indsamle proceslister og domæneoplysninger til yderligere udnyttelse.
Udnyttelse af SharpHide og NOOPDOOR
I nogle tilfælde har trusselsaktørerne bag Earth Kasha brugt SharpHide, et open source-værktøj, til at lancere en ny version af NOOPDOOR-bagdøren (også kendt som HiddenFace). Denne bagdør er designet til at undgå detektion ved at understøtte DNS-over-HTTPS (DoH), som hjælper med at skjule IP-adresseopslag, der bruges til Command-and-Control (C2)-kommunikation.
Vedvarende trussel og årvågenhed nødvendig
Earth Kasha er fortsat en aktiv og vedvarende trussel rettet mod værdifulde aktiver, herunder følsomme regeringsdata, intellektuel ejendom og adgangsoplysninger. Virksomheder og organisationer, især dem i sektorer relateret til forvaltning og infrastruktur, skal fortsat implementere robuste cybersikkerhedsforanstaltninger for at beskytte mod sådanne avancerede, vedvarende angreb.
