ROAMINGMOUSE मैलवेयर

मिररफेस के नाम से जाना जाने वाला एक राष्ट्र-राज्य खतरा अभिनेता हाल ही में जापान और ताइवान में सरकारी एजेंसियों और सार्वजनिक संस्थानों को लक्षित करने वाले साइबर जासूसी अभियानों से जुड़ा हुआ है। चीन से जुड़ा यह अभिनेता और जिसे अर्थ काशा के नाम से भी जाना जाता है, APT10 के भीतर एक उप-क्लस्टर के रूप में काम करता है। मार्च 2025 तक, सुरक्षा शोधकर्ताओं ने समूह की गतिविधियों के बारे में नए विवरण प्रकट किए, जिसमें जासूसी के लिए उन्नत मैलवेयर टूल का उपयोग शामिल है।

ऑपरेशन अकाईरयू: एक पिछले हमले का खुलासा

जापान और ताइवान में चल रहे अभियानों के अलावा, अर्थ काशा ऑपरेशन अकाईर्यू के पीछे भी था, जो अगस्त 2024 में यूरोपीय संघ में एक राजनयिक संगठन को निशाना बनाकर किया गया एक साइबर हमला था। इस ऑपरेशन में एएनईएल बैकडोर की तैनाती शामिल थी, जिसे अपरकट के रूप में भी जाना जाता है, जो संवेदनशील लक्ष्यों तक अनधिकृत पहुंच प्राप्त करने में अभिनेता की परिष्कृत रणनीति को उजागर करता है।

आक्रमण रणनीति: मैलवेयर की एक भ्रामक श्रृंखला

मिररफेस ऑपरेशन स्पीयर-फ़िशिंग ईमेल से शुरू होता है, जिनमें से कुछ को समझौता किए गए वैध खातों से भेजा जाता है। इन ईमेल में एक दूषित Microsoft OneDrive URL होता है, जिस पर क्लिक करने पर एक ZIP फ़ाइल डाउनलोड होती है। ZIP संग्रह के अंदर, एक एक्सेल दस्तावेज़ और एक मैक्रो-सक्षम ड्रॉपर जिसका कोडनेम ROAMINGMOUSE है, मैलवेयर के लिए डिलीवरी वाहन के रूप में कार्य करता है। पिछले साल से मिररफेस द्वारा उपयोग किया जाने वाला ROAMINGMOUSE, एक अतिरिक्त ZIP फ़ाइल को डिकोड और ड्रॉप करता है, जिसमें कई दुर्भावनापूर्ण घटक होते हैं।

मैलवेयर ड्रॉप के प्रमुख घटक:

• JSLNTOOL.exe, JSTIEE.exe, या JSVWMNG.exe: वैध बाइनरी
• JSFC.dll (ANELLDR): एक दुर्भावनापूर्ण DLL
• एन्क्रिप्टेड ANEL पेलोड: मुख्य बैकडोर
• MSVCR100.dll: एक वैध DLL निर्भरता

एक बार गिराए जाने के बाद, मैलवेयर एक वैध निष्पादन योग्य को लॉन्च करने के लिए explorer.exe का उपयोग करता है, तथा धोखाधड़ी वाले DLL, ANELLDR के माध्यम से ANEL बैकडोर को साइडलोड करता है।

एएनईएल में उन्नत विशेषताएं: साइबर जासूसी का एक नया युग

2025 अभियान में उपयोग किए गए ANEL बैकडोर में एक महत्वपूर्ण अपग्रेड शामिल है: एक नया कमांड जो बीकन ऑब्जेक्ट फाइल्स (BOFs) के इन-मेमोरी निष्पादन का समर्थन करता है। BOFs छोटे C प्रोग्राम हैं जिन्हें कोबाल्ट स्ट्राइक एजेंट की क्षमताओं का विस्तार करने के लिए डिज़ाइन किया गया है, जो पोस्ट-एक्सप्लॉयटेशन सुविधाओं को बढ़ाता है। एक बार इंस्टॉल हो जाने पर, बैकडोर अर्थ काशा को स्क्रीनशॉट लेने, पीड़ित के वातावरण की जांच करने और आगे के शोषण के लिए प्रक्रिया सूची और डोमेन जानकारी एकत्र करने में सक्षम बनाता है।

SharpHide और NOOPDOOR का लाभ उठाना

कुछ मामलों में, अर्थ काशा के पीछे के खतरे वाले अभिनेताओं ने NOOPDOOR बैकडोर (जिसे हिडनफेस के नाम से भी जाना जाता है) का नया संस्करण लॉन्च करने के लिए ओपन-सोर्स टूल SharpHide का उपयोग किया है। इस बैकडोर को DNS-over-HTTPS (DoH) का समर्थन करके पता लगाने से बचने के लिए डिज़ाइन किया गया है, जो कमांड-एंड-कंट्रोल (C2) संचार के लिए उपयोग किए जाने वाले IP एड्रेस लुकअप को छिपाने में मदद करता है।

निरंतर खतरा और सतर्कता की आवश्यकता

अर्थ काशा संवेदनशील सरकारी डेटा, बौद्धिक संपदा और एक्सेस क्रेडेंशियल सहित उच्च-मूल्य वाली संपत्तियों को लक्षित करने वाला एक सक्रिय और लगातार खतरा बना हुआ है। उद्यमों और संगठनों, विशेष रूप से शासन और बुनियादी ढांचे से संबंधित क्षेत्रों में, ऐसे उन्नत, लगातार हमलों से बचने के लिए मजबूत साइबर सुरक्षा उपायों को लागू करना जारी रखना चाहिए।