ROAMINGMOUSE pahavara
Riiklikku ohutegijat, keda tuntakse nime all MirrorFace, on hiljuti seostatud küberspionaažikampaaniatega, mis on suunatud valitsusasutustele ja avalik-õiguslikele institutsioonidele Jaapanis ja Taiwanis. See Hiinaga seotud tegelane, keda tuntakse ka nime all Earth Kasha, tegutseb APT10 alamklastri osana. 2025. aasta märtsi seisuga avalikustasid turvauurijad rühmituse tegevuse kohta uusi üksikasju, sealhulgas täiustatud pahavaratööriistade kasutamist spionaažiks.
Sisukord
Operatsioon AkaiRyū: varasem rünnak paljastatud
Lisaks Jaapanis ja Taiwanis käimasolevatele operatsioonidele oli Earth Kasha ka operatsiooni AkaiRyū taga, mis oli 2024. aasta augustis Euroopa Liidu diplomaatilise organisatsiooni vastu suunatud küberrünnak. See operatsioon hõlmas ANEL-i tagaukse, tuntud ka kui UPPERCUT, kasutuselevõttu, mis rõhutab tegutseja keerukaid taktikaid tundlikele sihtmärkidele loata juurdepääsu saamiseks.
Rünnakustrateegia: petlik pahavara ahel
MirrorFace'i operatsioon algab õngitsuskirjadega, millest mõned saadetakse ohustatud legitiimsetelt kontodelt. Need kirjad sisaldavad rikutud Microsoft OneDrive'i URL-i, millele klõpsamisel laaditakse alla ZIP-fail. ZIP-arhiivis on Exceli dokument ja makrotoega dropper koodnimega ROAMINGMOUSE, mis toimib pahavara edastusvahendina. ROAMINGMOUSE, mida MirrorFace on kasutanud alates eelmisest aastast, dekodeerib ja laadib alla täiendava ZIP-faili, mis sisaldab mitmeid pahatahtlikke komponente.
Pahavaratõrje põhikomponendid:
- JSLNTOOL.exe, JSTIEE.exe või JSVWMNG.exe: legitiimsed binaarfailid
- JSFC.dll (ANELLDR): pahatahtlik DLL
- Krüptitud ANEL-i kasulik koormus: peamine tagauks
- MSVCR100.dll: Õigustatud DLL-sõltuvus
Pärast serverisse sattumist kasutab pahavara explorer.exe-d legitiimse käivitatava faili käivitamiseks, laadides ANEL-i tagaukse petturliku DLL-i ANELLDR kaudu.
ANEL-i täiustatud funktsioonid: küberspionaaži uus ajastu
2025. aasta kampaanias kasutatud ANEL-i tagauks sisaldab olulist uuendust: uut käsku, mis toetab Beacon Object Files'i (BOF-ide) mälusisest käivitamist. BOF-id on väikesed C-programmid, mis on loodud Cobalt Strike'i agendi võimaluste laiendamiseks, täiustades ärakasutamise järgseid funktsioone. Pärast installimist võimaldab tagauks Earth Kashal teha ekraanipilte, uurida ohvri keskkonda ning koguda protsesside loendeid ja domeeniteavet edasiseks ärakasutamiseks.
SharpHide’i ja NOOPDOORi kasutamine
Mõnel juhul on Earth Kasha taga olevad ohutegijad kasutanud avatud lähtekoodiga tööriista SharpHide, et käivitada NOOPDOOR tagaukse uus versioon (tuntud ka kui HiddenFace). See tagauks on loodud tuvastamise vältimiseks, toetades DNS-over-HTTPS-i (DoH), mis aitab varjata käsklus-ja-juhtimise (C2) suhtluseks kasutatavaid IP-aadressi otsinguid.
Pidev oht ja valvsus on vajalikud
Earth Kasha on endiselt aktiivne ja püsiv oht, mis on suunatud kõrge väärtusega varadele, sealhulgas tundlikele valitsuse andmetele, intellektuaalomandile ja juurdepääsuandmetele. Ettevõtted ja organisatsioonid, eriti valitsemise ja infrastruktuuriga seotud sektorites tegutsevad, peavad jätkama tugevate küberturvalisuse meetmete rakendamist, et kaitsta end selliste täiustatud ja püsivate rünnakute eest.
