ROAMINGMOUSE Zlonamjerni softver
Nacionalna državna prijetnja poznata kao MirrorFace nedavno je povezana s kampanjama kibernetičke špijunaže usmjerenim na vladine agencije i javne institucije u Japanu i Tajvanu. Ovaj akter, povezan s Kinom i poznat i kao Earth Kasha, djeluje kao podklaster unutar APT10 . Od ožujka 2025. sigurnosni istraživači otkrili su nove detalje o aktivnostima grupe, uključujući korištenje naprednih alata za zlonamjerni softver za špijunažu.
Sadržaj
Operacija AkaiRyū: Otkriven prethodni napad
Uz tekuće operacije u Japanu i Tajvanu, Earth Kasha je također stajao iza Operacije AkaiRyū, kibernetičkog napada usmjerenog na diplomatsku organizaciju u Europskoj uniji u kolovozu 2024. Ova operacija uključivala je postavljanje ANEL-ovih stražnjih vrata, poznatih i kao UPPERCUT, što je naglasilo sofisticirane taktike aktera u dobivanju neovlaštenog pristupa osjetljivim ciljevima.
Strategija napada: Obmanjujući lanac zlonamjernog softvera
Operacija MirrorFace započinje spear-phishing e-porukama, od kojih su neke poslane s kompromitiranih legitimnih računa. Ove e-poruke sadrže oštećeni Microsoft OneDrive URL koji, nakon klika, preuzima ZIP datoteku. Unutar ZIP arhive, Excel dokument i alat za ispuštanje s omogućenim makroima kodnog naziva ROAMINGMOUSE služe kao sredstvo za dostavu zlonamjernog softvera. ROAMINGMOUSE, koji MirrorFace koristi od prošle godine, dekodira i ispušta dodatnu ZIP datoteku koja sadrži nekoliko zlonamjernih komponenti.
Ključne komponente uklanjanja zlonamjernog softvera:
- JSLNTOOL.exe, JSTIEE.exe ili JSVWMNG.exe: Ispravne binarne datoteke
- JSFC.dll (ANELLDR): Zlonamjerni DLL
- Šifrirani ANEL korisni teret: Glavni stražnji ulaz
- MSVCR100.dll: Legitimna ovisnost DLL-a
Nakon što se instalira, zlonamjerni softver koristi explorer.exe za pokretanje legitimne izvršne datoteke, učitavajući ANEL backdoor putem lažnog DLL-a, ANELLDR.
Poboljšane značajke u ANEL-u: Novo doba kibernetičke špijunaže
ANEL backdoor korišten u kampanji 2025. uključuje značajno poboljšanje: novu naredbu koja podržava izvršavanje Beacon Object Files (BOF) u memoriji. BOF-ovi su mali C programi dizajnirani za proširenje mogućnosti agenta Cobalt Strike , poboljšavajući značajke nakon iskorištavanja. Nakon instalacije, backdoor omogućuje Earth Kashi snimanje zaslona, ispitivanje okruženja žrtve i prikupljanje popisa procesa i informacija o domeni za daljnje iskorištavanje.
Korištenje SharpHidea i NOOPDOOR-a
U nekim slučajevima, akteri prijetnji iza Earth Kashe koristili su SharpHide, alat otvorenog koda, za pokretanje nove verzije NOOPDOOR backdoora (poznatog i kao HiddenFace). Ovaj backdoor dizajniran je kako bi izbjegao otkrivanje podržavajući DNS-over-HTTPS (DoH), što pomaže u prikrivanju pretraga IP adresa koje se koriste za komunikaciju Command-and-Control (C2).
Potrebna je stalna prijetnja i budnost
Earth Kasha ostaje aktivna i uporna prijetnja usmjerena na imovinu visoke vrijednosti, uključujući osjetljive vladine podatke, intelektualno vlasništvo i pristupne vjerodajnice. Poduzeća i organizacije, posebno one u sektorima povezanim s upravljanjem i infrastrukturom, moraju nastaviti provoditi snažne mjere kibernetičke sigurnosti kako bi se zaštitili od takvih naprednih, upornih napada.
