Κακόβουλο λογισμικό ROAMINGMOUSE
Ένας φορέας απειλής εθνικού κράτους, γνωστός ως MirrorFace, συνδέθηκε πρόσφατα με εκστρατείες κυβερνοκατασκοπείας που στοχεύουν κυβερνητικές υπηρεσίες και δημόσιους οργανισμούς στην Ιαπωνία και την Ταϊβάν. Αυτός ο φορέας, που συνδέεται με την Κίνα και είναι επίσης γνωστός ως Earth Kasha, λειτουργεί ως υποσύνολο εντός της APT10 . Από τον Μάρτιο του 2025, ερευνητές ασφαλείας αποκάλυψαν νέες λεπτομέρειες σχετικά με τις δραστηριότητες της ομάδας, συμπεριλαμβανομένης της χρήσης προηγμένων εργαλείων κακόβουλου λογισμικού για κατασκοπεία.
Πίνακας περιεχομένων
Επιχείρηση AkaiRyū: Αποκάλυψη προηγούμενης επίθεσης
Εκτός από τις συνεχιζόμενες επιχειρήσεις στην Ιαπωνία και την Ταϊβάν, η Earth Kasha βρισκόταν επίσης πίσω από την Επιχείρηση AkaiRyū, μια κυβερνοεπίθεση που στόχευε έναν διπλωματικό οργανισμό στην Ευρωπαϊκή Ένωση τον Αύγουστο του 2024. Αυτή η επιχείρηση περιελάμβανε την ανάπτυξη της κερκόπορτας της ANEL, γνωστής και ως UPPERCUT, αναδεικνύοντας τις εξελιγμένες τακτικές του δράστη στην απόκτηση μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητους στόχους.
Στρατηγική Επίθεσης: Μια Παραπλανητική Αλυσίδα Κακόβουλου Λογισμικού
Η λειτουργία του MirrorFace ξεκινά με email spear-phishing, ορισμένα από τα οποία αποστέλλονται από παραβιασμένους νόμιμους λογαριασμούς. Αυτά τα email περιέχουν μια κατεστραμμένη διεύθυνση URL του Microsoft OneDrive στην οποία, αφού κάνετε κλικ, κατεβάζει ένα αρχείο ZIP. Μέσα στο αρχείο ZIP, ένα έγγραφο Excel και ένα πρόγραμμα απόθεσης με δυνατότητα μακροεντολών με την κωδική ονομασία ROAMINGMOUSE χρησιμεύουν ως μέσο παράδοσης του κακόβουλου λογισμικού. Το ROAMINGMOUSE, που χρησιμοποιείται από το MirrorFace από πέρυσι, αποκωδικοποιεί και αποστέλλει ένα επιπλέον αρχείο ZIP, το οποίο περιέχει πολλά κακόβουλα στοιχεία.
Βασικά στοιχεία της απόρριψης κακόβουλου λογισμικού:
- JSLNTOOL.exe, JSTIEE.exe ή JSVWMNG.exe: Νόμιμα δυαδικά αρχεία
- JSFC.dll (ANELLDR): Ένα κακόβουλο αρχείο DLL
- Κρυπτογραφημένο ANEL Payload: Η κύρια κερκόπορτα
- MSVCR100.dll: Μια νόμιμη εξάρτηση DLL
Μόλις εγκατασταθεί, το κακόβουλο λογισμικό χρησιμοποιεί το explorer.exe για να εκκινήσει ένα νόμιμο εκτελέσιμο αρχείο, φορτώνοντας το backdoor του ANEL μέσω του δόλιου DLL, ANELLDR.
Βελτιωμένα χαρακτηριστικά στο ANEL: Μια νέα εποχή κυβερνοκατασκοπείας
Το backdoor του ANEL που χρησιμοποιήθηκε στην καμπάνια του 2025 περιλαμβάνει μια σημαντική αναβάθμιση: μια νέα εντολή που υποστηρίζει την εκτέλεση αρχείων Beacon Object Files (BOFs) στη μνήμη. Τα BOFs είναι μικρά προγράμματα C που έχουν σχεδιαστεί για να επεκτείνουν τις δυνατότητες του παράγοντα Cobalt Strike , βελτιώνοντας τις λειτουργίες μετά την εκμετάλλευση. Μόλις εγκατασταθεί, το backdoor επιτρέπει στο Earth Kasha να λαμβάνει στιγμιότυπα οθόνης, να εξετάζει το περιβάλλον του θύματος και να συλλέγει λίστες διεργασιών και πληροφορίες τομέα για περαιτέρω εκμετάλλευση.
Αξιοποιώντας τα SharpHide και NOOPDOOR
Σε ορισμένες περιπτώσεις, οι απειλητικοί παράγοντες πίσω από το Earth Kasha έχουν χρησιμοποιήσει το SharpHide, ένα εργαλείο ανοιχτού κώδικα, για να κυκλοφορήσουν μια νέα έκδοση του backdoor NOOPDOOR (γνωστού και ως HiddenFace). Αυτό το backdoor έχει σχεδιαστεί για να αποφεύγει τον εντοπισμό υποστηρίζοντας DNS-over-HTTPS (DoH), το οποίο βοηθά στην απόκρυψη των αναζητήσεων διευθύνσεων IP που χρησιμοποιούνται για την επικοινωνία Command-and-Control (C2).
Απαιτείται συνεχής απειλή και επαγρύπνηση
Το Earth Kasha παραμένει μια ενεργή και επίμονη απειλή που στοχεύει σε περιουσιακά στοιχεία υψηλής αξίας, συμπεριλαμβανομένων ευαίσθητων κυβερνητικών δεδομένων, πνευματικής ιδιοκτησίας και διαπιστευτηρίων πρόσβασης. Οι επιχειρήσεις και οι οργανισμοί, ιδίως εκείνοι σε τομείς που σχετίζονται με τη διακυβέρνηση και τις υποδομές, πρέπει να συνεχίσουν να εφαρμόζουν ισχυρά μέτρα κυβερνοασφάλειας για να προστατεύονται από τέτοιες προηγμένες, επίμονες επιθέσεις.
