Perisian hasad ROAMINGMOUSE
Seorang pelakon ancaman negara bangsa yang dikenali sebagai MirrorFace baru-baru ini telah dikaitkan dengan kempen pengintipan siber yang menyasarkan agensi kerajaan dan institusi awam di Jepun dan Taiwan. Pelakon ini, sejajar dengan China dan juga dikenali sebagai Earth Kasha, beroperasi sebagai subkluster dalam APT10 . Sehingga Mac 2025, penyelidik keselamatan mendedahkan butiran baharu tentang aktiviti kumpulan itu, termasuk penggunaan alat perisian hasad lanjutan mereka untuk pengintipan.
Isi kandungan
Operasi AkaiRyū: Serangan Terdahulu Terbongkar
Selain operasi yang sedang dijalankan di Jepun dan Taiwan, Earth Kasha juga berada di belakang Operasi AkaiRyū, serangan siber yang ditujukan kepada organisasi diplomatik di Kesatuan Eropah pada Ogos 2024. Operasi ini melibatkan penempatan pintu belakang ANEL, yang juga dikenali sebagai UPPERCUT, yang menyerlahkan taktik canggih pelakon itu dalam mendapatkan akses tanpa kebenaran kepada sasaran sensitif.
Strategi Serangan: Rangkaian Peribadi yang Menipu
Operasi MirrorFace bermula dengan e-mel spear-phishing, beberapa dihantar daripada akaun sah yang terjejas. E-mel ini mengandungi URL Microsoft OneDrive yang rosak yang, setelah diklik, memuat turun fail ZIP. Di dalam arkib ZIP, dokumen Excel dan penitis yang didayakan makro dengan nama kod ROAMINGMOUSE berfungsi sebagai kenderaan penghantaran untuk perisian hasad. ROAMINGMOUSE, yang digunakan oleh MirrorFace sejak tahun lepas, menyahkod dan menjatuhkan fail ZIP tambahan, yang mengandungi beberapa komponen berniat jahat.
Komponen Utama Pengguguran Perisian Hasad:
- JSLNTOOL.exe, JSTIEE.exe atau JSVWMNG.exe: Perduaan sah
- JSFC.dll (ANELLDR): DLL berniat jahat
- Muatan ANEL yang disulitkan: Pintu belakang utama
- MSVCR100.dll: Kebergantungan DLL yang sah
Setelah dijatuhkan, perisian hasad menggunakan explorer.exe untuk melancarkan boleh laku yang sah, memuatkan sisi pintu belakang ANEL melalui DLL penipuan, ANELLDR.
Ciri Dipertingkatkan dalam ANEL: Era Baharu Pengintipan Siber
Pintu belakang ANEL yang digunakan dalam kempen 2025 termasuk peningkatan yang ketara: arahan baharu yang menyokong pelaksanaan dalam memori Beacon Object Files (BOFs). BOF ialah program C kecil yang direka untuk memanjangkan keupayaan ejen Cobalt Strike , meningkatkan ciri pasca eksploitasi. Setelah dipasang, pintu belakang membolehkan Earth Kasha mengambil tangkapan skrin, memeriksa persekitaran mangsa dan mengumpulkan senarai proses dan maklumat domain untuk eksploitasi selanjutnya.
Memanfaatkan SharpHide dan NOOPDOOR
Dalam sesetengah keadaan, pelakon ancaman di sebalik Earth Kasha telah menggunakan SharpHide, alat sumber terbuka, untuk melancarkan versi baharu pintu belakang NOOPDOOR (juga dikenali sebagai HiddenFace). Pintu belakang ini telah direka bentuk untuk mengelakkan pengesanan dengan menyokong DNS-over-HTTPS (DoH), yang membantu menyembunyikan carian alamat IP yang digunakan untuk komunikasi Command-and-Control (C2).
Ancaman dan Kewaspadaan Berterusan Diperlukan
Earth Kasha kekal sebagai ancaman aktif dan berterusan yang menyasarkan aset bernilai tinggi, termasuk data kerajaan yang sensitif, harta intelek dan bukti kelayakan akses. Perusahaan dan organisasi, terutamanya dalam sektor yang berkaitan dengan tadbir urus dan infrastruktur, mesti terus melaksanakan langkah keselamatan siber yang teguh untuk berwaspada daripada serangan yang berterusan dan maju itu.
