ROAMINGMOUSE ļaunprogrammatūra
Nacionālas valsts mēroga apdraudējumu grupējums, kas pazīstams kā MirrorFace, nesen ir saistīts ar kiberizlūkošanas kampaņām, kuru mērķis ir valdības aģentūras un valsts iestādes Japānā un Taivānā. Šis grupējums, kas saistīts ar Ķīnu un pazīstams arī kā Earth Kasha, darbojas kā apakšklasteris APT10 ietvaros. Kopš 2025. gada marta drošības pētnieki atklāja jaunu informāciju par grupas darbībām, tostarp par to, ka tā izmanto uzlabotus ļaunprogrammatūras rīkus spiegošanai.
Satura rādītājs
Operācija AkaiRyū: atklāts iepriekšējais uzbrukums
Papildus notiekošajām operācijām Japānā un Taivānā, Earth Kasha bija arī operācijas AkaiRyū vadītājs — kiberuzbrukuma, kas bija vērsts pret diplomātisko organizāciju Eiropas Savienībā 2024. gada augustā, ietvaros. Šīs operācijas laikā tika izmantota ANEL aizmugurējā durvju sistēma, kas pazīstama arī kā UPPERCUT, kas izceļ dalībnieka sarežģīto taktiku, lai iegūtu neatļautu piekļuvi sensitīviem mērķiem.
Uzbrukuma stratēģija: Maldinoša ļaunprogrammatūras ķēde
MirrorFace operācija sākas ar mērķtiecīgas pikšķerēšanas e-pastiem, daži no tiem tiek sūtīti no kompromitētiem likumīgiem kontiem. Šajos e-pastos ir bojāts Microsoft OneDrive URL, uz kura noklikšķinot, tiek lejupielādēts ZIP fails. ZIP arhīvā par ļaunprogrammatūras piegādes līdzekli kalpo Excel dokuments un makro iespējots nomešanas rīks ar koda nosaukumu ROAMINGMOUSE. ROAMINGMOUSE, ko MirrorFace izmanto kopš pagājušā gada, dekodē un nomest papildu ZIP failu, kurā ir vairāki ļaunprātīgi komponenti.
Ļaunprogrammatūras noņemšanas galvenās sastāvdaļas:
- JSLNTOOL.exe, JSTIEE.exe vai JSVWMNG.exe: likumīgi binārie faili
- JSFC.dll (ANELLDR): ļaunprātīga DLL fails
- Šifrēta ANEL lietderīgā slodze: Galvenā aizmugurējā durvis
- MSVCR100.dll: likumīga DLL atkarība
Kad ļaunprogrammatūra ir ievietota, tā izmanto explorer.exe, lai palaistu likumīgu izpildāmo failu, sānielādējot ANEL aizmugurējo durvju daļu, izmantojot krāpniecisku DLL ANELLDR.
Uzlabotas ANEL funkcijas: jauna kiberspiegošanas ēra
2025. gada kampaņā izmantotajai ANEL aizmugurējai durvīm ir iekļauts būtisks uzlabojums: jauna komanda, kas atbalsta Beacon Object Files (BOF) izpildi atmiņā. BOF ir nelielas C programmas, kas paredzētas, lai paplašinātu Cobalt Strike aģenta iespējas, uzlabojot pēcekspluatācijas funkcijas. Pēc instalēšanas aizmugurējā durvīm ir iespēja Earth Kasha uzņemt ekrānuzņēmumus, pārbaudīt upura vidi un apkopot procesu sarakstus un domēna informāciju turpmākai ekspluatācijai.
Izmantojot SharpHide un NOOPDOOR
Dažos gadījumos Earth Kasha slēpjošie apdraudējuma izpildītāji ir izmantojuši atvērtā pirmkoda rīku SharpHide, lai palaistu jaunu NOOPDOOR aizmugurējās durvis versiju (pazīstama arī kā HiddenFace). Šīs aizmugurējās durvis ir izstrādātas, lai izvairītos no atklāšanas, atbalstot DNS-over-HTTPS (DoH), kas palīdz slēpt IP adreses meklēšanu, ko izmanto komandvadības (C2) saziņai.
Nepieciešama pastāvīga apdraudējuma un modrība
Earth Kasha joprojām ir aktīvs un pastāvīgs drauds, kas vērsts pret augstas vērtības aktīviem, tostarp sensitīviem valdības datiem, intelektuālo īpašumu un piekļuves akreditācijas datiem. Uzņēmumiem un organizācijām, jo īpaši tām, kas darbojas ar pārvaldību un infrastruktūru saistītās nozarēs, ir jāturpina īstenot stingri kiberdrošības pasākumi, lai aizsargātu pret šādiem progresīviem, pastāvīgiem uzbrukumiem.
