ROAMINGMOUSE-haittaohjelma
Kansallisvaltioiden uhkatoimija nimeltä MirrorFace on äskettäin yhdistetty kybervakoilukampanjoihin, jotka kohdistuvat valtion virastoihin ja julkisiin laitoksiin Japanissa ja Taiwanissa. Tämä Kiinaan liittoutunut toimija, joka tunnetaan myös nimellä Earth Kasha, toimii APT10:n alaryppäänä. Maaliskuussa 2025 tietoturvatutkijat paljastivat uusia tietoja ryhmän toiminnasta, mukaan lukien sen vakoiluun käyttämien edistyneiden haittaohjelmatyökalujen käytön.
Sisällysluettelo
Operaatio AkaiRyū: Aiempi hyökkäys paljastettu
Japanissa ja Taiwanissa meneillään olevien operaatioiden lisäksi Earth Kasha oli myös operaatio AkaiRyū -nimisen kyberhyökkäyksen takana, joka kohdistui Euroopan unionin diplomaattiseen järjestöön elokuussa 2024. Operaatioon sisältyi ANEL-takaportin, joka tunnetaan myös nimellä UPPERCUT, käyttöönotto, mikä korostaa toimijan hienostuneita taktiikoita luvattoman pääsyn hankkimiseksi arkaluonteisiin kohteisiin.
Hyökkäysstrategia: Petollinen haittaohjelmaketju
MirrorFacen operaatio alkaa huijausviesteillä, joista osa lähetetään vaarantuneilta laillisilta tileiltä. Nämä sähköpostit sisältävät vioittuneen Microsoft OneDrive -URL-osoitteen, jota napsauttamalla ladataan ZIP-tiedosto. ZIP-arkiston sisällä on Excel-asiakirja ja makroja käyttävä pudotin, jonka koodinimi on ROAMINGMOUSE, joka toimii haittaohjelman toimitusvälineenä. MirrorFacen viime vuodesta lähtien käyttämä ROAMINGMOUSE dekoodaa ja pudottaa ylimääräisen ZIP-tiedoston, joka sisältää useita haitallisia komponentteja.
Haittaohjelmien torjunnan keskeiset osat:
- JSLNTOOL.exe, JSTIEE.exe tai JSVWMNG.exe: Lailliset binääritiedostot
- JSFC.dll (ANELLDR): Haitallinen DLL-tiedosto
- Salattu ANEL-hyötykuorma: Päätakaportti
- MSVCR100.dll: Laillinen DLL-riippuvuus
Pudotettuaan haittaohjelma käyttää explorer.exe-tiedostoa käynnistääkseen laillisen suoritettavan tiedoston ja sivulataamalla ANEL-takaportin huijaavan ANELLDR-DLL-tiedoston kautta.
ANELin parannetut ominaisuudet: Kybervakoilun uusi aikakausi
Vuoden 2025 kampanjassa käytetty ANEL-takaportti sisältää merkittävän päivityksen: uuden komennon, joka tukee Beacon Object Files (BOF) -tiedostojen suorittamista muistissa. BOF:t ovat pieniä C-ohjelmia, jotka on suunniteltu laajentamaan Cobalt Strike -agentin ominaisuuksia ja parantamaan hyväksikäytön jälkeisiä ominaisuuksia. Asennuksen jälkeen takaportti mahdollistaa Earth Kashan ottaa kuvakaappauksia, tutkia uhrin ympäristöä ja kerätä prosessiluetteloita ja verkkotunnustietoja jatkokäyttöä varten.
SharpHiden ja NOOPDOORin hyödyntäminen
Joissakin tapauksissa Earth Kashan takana olevat uhkatoimijat ovat käyttäneet avoimen lähdekoodin SharpHide-työkalua uuden version julkaisemiseen NOOPDOOR-takaportista (tunnetaan myös nimellä HiddenFace). Tämä takaportti on suunniteltu välttämään havaitsemista tukemalla DNS-over-HTTPS (DoH) -protokollaa, joka auttaa piilottamaan komento- ja hallintaviestinnässä (C2) käytettyjä IP-osoitehakuja.
Jatkuva uhka ja valppaus tarvitaan
Earth Kasha on edelleen aktiivinen ja jatkuva uhka, joka kohdistuu arvokkaisiin omaisuuseriin, kuten arkaluonteisiin valtion tietoihin, immateriaalioikeuksiin ja käyttöoikeuksiin. Yritysten ja organisaatioiden, erityisesti hallintoon ja infrastruktuuriin liittyvillä aloilla toimivien, on jatkettava vankkojen kyberturvallisuustoimenpiteiden toteuttamista suojautuakseen tällaisilta edistyneiltä ja jatkuvilta hyökkäyksiltä.
