הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של ROAMINGMOUSE

תוכנה זדונית של ROAMINGMOUSE

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:

גורם איום מדינתי המכונה MirrorFace נקשר לאחרונה לקמפיינים של ריגול סייבר המכוונים נגד סוכנויות ממשלתיות ומוסדות ציבור ביפן ובטייוואן. גורם זה, המקושר לסין ומוכר גם בשם Earth Kasha, פועל כתת-אשכול בתוך APT10 . נכון למרץ 2025, חוקרי אבטחה חשפו פרטים חדשים על פעילות הקבוצה, כולל השימוש שלהם בכלי תוכנות זדוניות מתקדמים לריגול.

מבצע אקאי ריו: נחשפה התקפה קודמת

בנוסף לפעילות המתמשכת ביפן ובטייוואן, Earth Kasha עמדה גם מאחורי מבצע AkaiRyū, מתקפת סייבר שכוונה נגד ארגון דיפלומטי באיחוד האירופי באוגוסט 2024. מבצע זה כלל פריסת דלת אחורית מסוג ANEL, המכונה גם UPPERCUT, מה שהדגיש את הטקטיקות המתוחכמות של הגורם להשגת גישה בלתי מורשית למטרות רגישות.

אסטרטגיית התקפה: שרשרת מטעה של תוכנות זדוניות

פעולת MirrorFace מתחילה במיילים מסוג "פישינג", חלקם נשלחים מחשבונות לגיטימיים שנפרצו. מיילים אלה מכילים כתובת URL פגומה ב-Microsoft OneDrive, אשר לאחר לחיצה עליה מורידה קובץ ZIP. בתוך ארכיון ה-ZIP, מסמך Excel וקובץ מוריד תוכנה זדונית המאפשר מאקרו בשם ROAMINGMOUSE משמשים ככלי משלוח עבור התוכנה הזדונית. ROAMINGMOUSE, בשימוש MirrorFace מאז השנה שעברה, מפענח ומוריד קובץ ZIP נוסף, המכיל מספר רכיבים זדוניים.

רכיבים מרכזיים של ירידת תוכנות זדוניות:

  • JSLNTOOL.exe, JSTIEE.exe, או JSVWMNG.exe: קבצים בינאריים לגיטימיים
  • JSFC.dll ‏(ANELLDR): קובץ DLL זדוני
  • מטען ANEL מוצפן: הדלת האחורית הראשית
  • MSVCR100.dll: תלות DLL לגיטימית

לאחר ההסרה, הנוזקה משתמשת ב-explorer.exe כדי להפעיל קובץ הרצה לגיטימי, תוך טעינה צדדית של הדלת האחורית של ANEL דרך קובץ ה-DLL ההונאה, ANELLDR.

תכונות משופרות ב-ANEL: עידן חדש של ריגול קיברנטי

הדלת האחורית של ANEL ששימשה בקמפיין 2025 כוללת שדרוג משמעותי: פקודה חדשה התומכת בביצוע קבצי אובייקטים של Beacon (BOFs) בזיכרון. קבצי BOF הם תוכנות C קטנות שנועדו להרחיב את יכולות סוכן Cobalt Strike , ולשפר את תכונות הניצול לאחר הניצול. לאחר ההתקנה, הדלת האחורית מאפשרת ל-Earth Kasha לצלם צילומי מסך, לבחון את סביבת הקורבן ולאסוף רשימות תהליכים ומידע על דומיינים לצורך ניצול נוסף.

מינוף SharpHide ו-NOOPDOOR

במקרים מסוימים, גורמי האיום מאחורי Earth Kasha השתמשו ב-SharpHide, כלי קוד פתוח, כדי להשיק גרסה חדשה של הדלת האחורית NOOPDOOR (הידועה גם בשם HiddenFace). דלת אחורית זו תוכננה להתחמק מגילוי על ידי תמיכה ב-DNS-over-HTTPS (DoH), המסייע להסתיר את חיפושי כתובות ה-IP המשמשים לתקשורת פיקוד ובקרה (C2).

נדרשים איום מתמשך וערנות

Earth Kasha נותר איום פעיל ומתמשך המכוון לנכסים בעלי ערך גבוה, כולל נתונים ממשלתיים רגישים, קניין רוחני ופרטי גישה. ארגונים וארגונים, במיוחד אלו במגזרים הקשורים לממשל ותשתיות, חייבים להמשיך ליישם אמצעי אבטחת סייבר חזקים כדי להתגונן מפני התקפות מתקדמות ומתמשכות כאלה.

מגמות

Webheroes.store

לא מסווג, חוטפי דפדפן, אתרים נוכלים
Webheroes.store קיים כדי לשמש כפלטפורמה לטקטיקות מקוונות בלבד. מומלץ מאוד למשתמשים לסגור את הדף ברגע שהם נוחתים בו. יתר על כן, ההיתקלות ב-Webheroes.store מלכתחילה לא סביר מאוד שהייתה מכוונת. ברוב המוחלט של המקרים, משתמשים נלקחים ליעדים מפוקפקים שכאלה כתוצאה מהפניות מאולצות הנגרמות על ידי רשתות פרסום נוכלות או PUPs (Potentially Unwanted Programs). ברגע שהאתר המטעה ייפתח, הוא ימשיך להציג הודעות...

DOGE פיצוי לקורבנות הונאה ברחבי העולם הונאת דואר...

פישינג, ספאם
שמירה על ערנות היא קריטית מתמיד. מדי יום, פושעי סייבר ממציאים דרכים חדשות לתמרן משתמשים תמימים - לעתים קרובות על ידי הסוואת טקטיקות לתקשורת לגיטימית. הודעות דוא"ל של הונאת פישינג אינן בטוחות במיוחד מכיוון שהן מכוונות לאמון ולסקרנות של אדם, ולעתים קרובות משתמשים בשפה רשמי וסמלי לוגו כדי להיראות אמינים. מסע פרסום אחד כזה, המכונה "הונאת הדואר האלקטרוני של DOGE Compensation to Fraud Victims...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
33,018
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...