ROAMINGMOUSE kártevő
Egy MirrorFace néven ismert nemzetállami fenyegetési szereplőt nemrégiben összefüggésbe hoztak japán és tajvani kormányzati ügynökségeket és közintézményeket célzó kiberkémkedési kampányokkal. Ez a Kínával együttműködő, Earth Kasha néven is ismert szereplő az APT10 egyik alklasztereként működik. 2025 márciusától a biztonsági kutatók új részleteket hoztak nyilvánosságra a csoport tevékenységeiről, beleértve a fejlett rosszindulatú programok kémkedésre való használatát is.
Tartalomjegyzék
AkaiRyū hadművelet: Egy korábbi támadás leleplezve
A Japánban és Tajvanon folyamatban lévő műveletek mellett az Earth Kasha állt az AkaiRyū hadművelet mögött is, amely egy 2024 augusztusában az Európai Unióban működő diplomáciai szervezet ellen elkövetett kibertámadás volt. A művelet során az UPPERCUT néven is ismert ANEL hátsó ajtót telepítették, ami rávilágít a szereplő kifinomult taktikájára, amellyel jogosulatlan hozzáférést szerzett érzékeny célpontokhoz.
Támadási stratégia: Megtévesztő kártevőláncolat
A MirrorFace művelet célzott adathalász e-mailekkel kezdődik, amelyek közül néhányat feltört, legitim fiókokból küldenek. Ezek az e-mailek egy sérült Microsoft OneDrive URL-t tartalmaznak, amelyre kattintva egy ZIP fájl töltődik le. A ZIP archívumban egy Excel-dokumentum és egy ROAMINGMOUSE kódnevű, makróbarát dropper szolgál a rosszindulatú program szállítóeszközeként. A MirrorFace által tavaly óta használt ROAMINGMOUSE dekódol és letölt egy további ZIP fájlt, amely számos rosszindulatú komponenst tartalmaz.
A kártevőirtó főbb összetevői:
- JSLNTOOL.exe, JSTIEE.exe vagy JSVWMNG.exe: Legitim bináris fájlok
- JSFC.dll (ANELLDR): Egy rosszindulatú DLL
- Titkosított ANEL hasznos teher: A fő hátsó ajtó
- MSVCR100.dll: Egy legitim DLL-függőség
Miután a kártevő lekerült, az explorer.exe fájlt használja egy legitim futtatható fájl elindításához, és a csalárd ANELLDR DLL-en keresztül betölti az ANEL hátsó ajtót.
Továbbfejlesztett funkciók az ANEL-ben: A kiberkémkedés új korszaka
A 2025-ös kampányban használt ANEL hátsó ajtó jelentős frissítést tartalmaz: egy új parancsot, amely támogatja a Beacon Object Files (BOF) memóriában történő végrehajtását. A BOF-ok kis C programok, amelyeket a Cobalt Strike ügynök képességeinek kibővítésére terveztek, javítva a kihasználás utáni funkciókat. A telepítés után a hátsó ajtó lehetővé teszi az Earth Kasha számára, hogy képernyőképeket készítsen, megvizsgálja az áldozat környezetét, valamint folyamatlistákat és domaininformációkat gyűjtsön a további kihasználáshoz.
A SharpHide és a NOOPDOOR kihasználása
Bizonyos esetekben az Earth Kasha mögött álló kiberfenyegetők a SharpHide nevű nyílt forráskódú eszközt használták a NOOPDOOR hátsó ajtó (más néven HiddenFace) új verziójának elindításához. Ezt a hátsó ajtót úgy tervezték, hogy elkerülje az észlelést a DNS-over-HTTPS (DoH) támogatásával, ami segít elrejteni a parancs-és-vezérlés (C2) kommunikációhoz használt IP-címkereséseket.
Folyamatos fenyegetés és éberség szükséges
Az Earth Kasha továbbra is aktív és állandó fenyegetést jelent a nagy értékű eszközök, többek között az érzékeny kormányzati adatok, a szellemi tulajdon és a hozzáférési hitelesítő adatok ellen. A vállalatoknak és szervezeteknek, különösen az irányítással és infrastruktúrával kapcsolatos ágazatokban működőknek, továbbra is robusztus kiberbiztonsági intézkedéseket kell végrehajtaniuk az ilyen fejlett, állandó támadások elleni védelem érdekében.
