ROAMINGMOUSE kenkėjiška programa
Nacionalinės grėsmės veikėjas, žinomas kaip „MirrorFace“, neseniai buvo susietas su kibernetinio šnipinėjimo kampanijomis, nukreiptomis prieš vyriausybines agentūras ir viešąsias įstaigas Japonijoje ir Taivane. Šis veikėjas, susijęs su Kinija ir dar žinomas kaip „Earth Kasha“, veikia kaip APT10 subklasteris. 2025 m. kovo mėn. saugumo tyrėjai atskleidė naujos informacijos apie grupės veiklą, įskaitant pažangių kenkėjiškų programų naudojimą šnipinėjimui.
Turinys
Operacija „AkaiRyū“: atskleista ankstesnė ataka
Be vykdomų operacijų Japonijoje ir Taivane, „Earth Kasha“ taip pat buvo atsakinga už operaciją „AkaiRyū“ – kibernetinę ataką, nukreiptą prieš diplomatinę organizaciją Europos Sąjungoje 2024 m. rugpjūtį. Šios operacijos metu buvo panaudotos ANEL užkardos, dar žinomos kaip UPPERCUT, ir tai parodė veikėjo sudėtingą taktiką, siekiant gauti neteisėtą prieigą prie jautrių taikinių.
Atakos strategija: apgaulinga kenkėjiškų programų grandinė
„MirrorFace“ operacija prasideda nuo tikslinių sukčiavimo el. laiškų, kai kurie iš jų siunčiami iš pažeistų teisėtų paskyrų. Šiuose el. laiškuose yra sugadintas „Microsoft OneDrive“ URL adresas, kurį spustelėjus atsisiunčiamas ZIP failas. ZIP archyve yra „Excel“ dokumentas ir makrokomandas palaikantis įskiepis, kodiniu pavadinimu ROAMINGMOUSE, kuris tarnauja kaip kenkėjiškos programos pristatymo priemonė. ROAMINGMOUSE, kurį „MirrorFace“ naudoja nuo praėjusių metų, dekoduoja ir atsisiunčia papildomą ZIP failą, kuriame yra keli kenkėjiški komponentai.
Pagrindiniai kenkėjiškų programų šalinimo komponentai:
- JSLNTOOL.exe, JSTIEE.exe arba JSVWMNG.exe: teisėti dvejetainiai failai
- JSFC.dll (ANELLDR): Kenkėjiškas DLL failas
- Užšifruotas ANEL naudingasis krūvis: pagrindinės galinės durys
- MSVCR100.dll: teisėta DLL priklausomybė
Patekusi kenkėjiška programa naudoja explorer.exe, kad paleistų teisėtą vykdomąjį failą ir įkeltų ANEL galines duris per apgaulingą DLL failą ANELLDR.
Patobulintos ANEL funkcijos: nauja kibernetinio šnipinėjimo era
2025 m. kampanijoje naudotas ANEL galinis durų tipas pasižymi reikšmingu atnaujinimu: nauja komanda, palaikanti „Beacon Object Files“ (BOF) vykdymą atmintyje. BOF yra mažos C programos, skirtos išplėsti „Cobalt Strike“ agento galimybes, tobulinant funkcijas po išnaudojimo. Įdiegus galinį durų tipą, „Earth Kasha“ gali daryti ekrano kopijas, tirti aukos aplinką ir rinkti procesų sąrašus bei domenų informaciją tolesniam išnaudojimui.
„SharpHide“ ir „NOOPDOOR“ panaudojimas
Kai kuriais atvejais „Earth Kasha“ platformos kūrėjai panaudojo atvirojo kodo įrankį „SharpHide“, kad paleistų naują „NOOPDOOR“ galinių durų versiją (dar žinomą kaip „HiddenFace“). Šios galinės durys sukurtos taip, kad būtų išvengta aptikimo, palaikant DNS per HTTPS (DoH), kuris padeda nuslėpti IP adresų paieškas, naudojamas komandų ir valdymo (C2) ryšiui.
Reikalingas nuolatinis pavojus ir budrumas
„Earth Kasha“ išlieka aktyvia ir nuolatine grėsme, nukreipta prieš didelės vertės turtą, įskaitant jautrius vyriausybės duomenis, intelektinę nuosavybę ir prieigos duomenis. Įmonės ir organizacijos, ypač tos, kurios veikia su valdymu ir infrastruktūra susijusiuose sektoriuose, privalo ir toliau įgyvendinti tvirtas kibernetinio saugumo priemones, kad apsisaugotų nuo tokių pažangių, nuolatinių atakų.
