ROAMINGMOUSE 악성코드

미러페이스(MirrorFace)라는 국가 기반 위협 행위자가 최근 일본과 대만의 정부 기관 및 공공 기관을 표적으로 삼는 사이버 간첩 활동에 연루된 것으로 밝혀졌습니다. 중국과 연계되어 있으며 어스 카샤(Earth Kasha)로도 알려진 이 행위자는 APT10 내의 하위 클러스터로 활동하고 있습니다. 2025년 3월, 보안 연구원들은 이 그룹의 활동에 대한 새로운 정보를 공개했는데, 여기에는 간첩 활동을 위한 고급 악성코드 도구 사용도 포함됩니다.

아카이류 작전: 이전 공격이 밝혀지다

일본과 대만에서 진행 중인 작전 외에도 Earth Kasha는 2024년 8월 유럽 연합의 외교 기관을 표적으로 삼은 사이버 공격인 Operation AkaiRyū에도 관여했습니다. 이 작전에는 ANEL 백도어(UPPERCUT이라고도 함)를 배치하는 작업이 포함되었으며, 이는 민감한 대상에 대한 무단 접근을 얻기 위한 공격자의 정교한 전략을 잘 보여줍니다.

공격 전략: 사기성 악성코드 사슬

MirrorFace 작전은 스피어피싱 이메일로 시작되는데, 일부는 손상된 합법적 계정에서 발송됩니다. 이 이메일에는 손상된 Microsoft OneDrive URL이 포함되어 있으며, 클릭하면 ZIP 파일이 다운로드됩니다. ZIP 파일 안에는 Excel 문서와 ROAMINGMOUSE라는 코드명의 매크로 활성화 드로퍼가 들어 있어 악성코드를 유포하는 역할을 합니다. MirrorFace가 작년부터 사용해 온 ROAMINGMOUSE는 여러 악성 구성 요소가 포함된 추가 ZIP 파일을 디코딩하여 유포합니다.

Malware Drop의 주요 구성 요소:

• JSLNTOOL.exe, JSTIEE.exe 또는 JSVWMNG.exe: 합법적인 바이너리
• JSFC.dll(ANELLDR): 악성 DLL
• 암호화된 ANEL 페이로드: 주요 백도어
• MSVCR100.dll: 합법적인 DLL 종속성

일단 악성코드가 설치되면 explorer.exe를 사용하여 합법적인 실행 파일을 실행하고, 사기성 DLL인 ANELLDR을 통해 ANEL 백도어를 사이드로딩합니다.

ANEL의 향상된 기능: 사이버 스파이 활동의 새로운 시대

2025년 캠페인에 사용된 ANEL 백도어에는 중요한 업그레이드가 포함되어 있습니다. 바로 비콘 객체 파일(BOF)의 메모리 내 실행을 지원하는 새로운 명령입니다. BOF는 Cobalt Strike 에이전트의 기능을 확장하여 익스플로잇 후 기능을 강화하도록 설계된 소형 C 프로그램입니다. 이 백도어가 설치되면 Earth Kasha는 스크린샷을 찍고, 피해자의 환경을 분석하고, 추가 익스플로잇을 위해 프로세스 목록과 도메인 정보를 수집할 수 있습니다.

SharpHide와 NOOPDOOR 활용

경우에 따라 Earth Kasha의 배후에 있는 위협 행위자들은 오픈소스 도구인 SharpHide를 사용하여 새로운 버전의 NOOPDOOR 백도어(HiddenFace라고도 함)를 실행했습니다. 이 백도어는 DNS-over-HTTPS(DoH)를 지원하여 탐지를 피하도록 설계되었으며, 명령 및 제어(C2) 통신에 사용되는 IP 주소 조회를 은폐합니다.

지속적인 위협과 경계 필요

어스 카샤는 민감한 정부 데이터, 지적 재산권, 접근 자격 증명 등 고가치 자산을 노리는 활발하고 지속적인 위협으로 남아 있습니다. 기업과 조직, 특히 거버넌스 및 인프라 관련 분야의 조직은 이러한 고도화되고 지속적인 공격으로부터 보호하기 위해 강력한 사이버 보안 조치를 지속적으로 시행해야 합니다.