ROAMINGMOUSE-skadevare
En nasjonalstatlig trusselaktør kjent som MirrorFace har nylig blitt koblet til cyberspionasjekampanjer rettet mot myndigheter og offentlige institusjoner i Japan og Taiwan. Denne aktøren, tilknyttet Kina og også kjent som Earth Kasha, opererer som en underklynge innenfor APT10 . Fra mars 2025 avslørte sikkerhetsforskere nye detaljer om gruppens aktiviteter, inkludert deres bruk av avanserte skadevareverktøy for spionasje.
Innholdsfortegnelse
Operasjon AkaiRyū: Et tidligere angrep avslørt
I tillegg til de pågående operasjonene i Japan og Taiwan, sto Earth Kasha også bak Operasjon AkaiRyū, et cyberangrep rettet mot en diplomatisk organisasjon i EU i august 2024. Denne operasjonen involverte utplassering av ANEL-bakdøren, også kjent som UPPERCUT, som fremhever aktørens sofistikerte taktikker for å få uautorisert tilgang til sensitive mål.
Angrepsstrategi: En villedende kjede av skadelig programvare
MirrorFace -operasjonen starter med spear-phishing-e-poster, noen sendt fra kompromitterte legitime kontoer. Disse e-postene inneholder en ødelagt Microsoft OneDrive-URL som, når den klikkes på, laster ned en ZIP-fil. Inne i ZIP-arkivet fungerer et Excel-dokument og en makroaktivert dropper med kodenavnet ROAMINGMOUSE som leveringsmiddel for skadevaren. ROAMINGMOUSE, som har blitt brukt av MirrorFace siden i fjor, dekoder og slipper en ekstra ZIP-fil, som inneholder flere skadelige komponenter.
Viktige komponenter i Malware Drop:
- JSLNTOOL.exe, JSTIEE.exe eller JSVWMNG.exe: Legitime binærfiler
- JSFC.dll (ANELLDR): En skadelig DLL
- Kryptert ANEL-nyttelast: Hovedbakdøren
- MSVCR100.dll: En legitim DLL-avhengighet
Når den er fjernet, bruker skadevaren explorer.exe til å starte en legitim kjørbar fil, og sidelaster ANEL-bakdøren gjennom den falske DLL-en ANELLDR.
Forbedrede funksjoner i ANEL: En ny æra med cyberspionasje
ANEL-bakdøren som ble brukt i 2025-kampanjen inkluderer en betydelig oppgradering: en ny kommando som støtter kjøring av Beacon Object Files (BOF-er) i minnet. BOF-er er små C-programmer som er utformet for å utvide funksjonene til Cobalt Strike- agenten, og forbedre funksjoner etter utnyttelse. Når bakdøren er installert, lar den Earth Kasha ta skjermbilder, undersøke offerets miljø og samle prosesslister og domeneinformasjon for videre utnyttelse.
Utnyttelse av SharpHide og NOOPDOOR
I noen tilfeller har trusselaktørene bak Earth Kasha brukt SharpHide, et åpen kildekode-verktøy, til å lansere en ny versjon av NOOPDOOR-bakdøren (også kjent som HiddenFace). Denne bakdøren er designet for å unngå deteksjon ved å støtte DNS-over-HTTPS (DoH), som bidrar til å skjule IP-adresseoppslagene som brukes til kommando-og-kontroll (C2)-kommunikasjon.
Vedvarende trussel og årvåkenhet nødvendig
Earth Kasha er fortsatt en aktiv og vedvarende trussel som retter seg mot verdifulle eiendeler, inkludert sensitive myndighetsdata, åndsverk og tilgangsinformasjon. Bedrifter og organisasjoner, spesielt de i sektorer knyttet til styring og infrastruktur, må fortsette å implementere robuste cybersikkerhetstiltak for å beskytte seg mot slike avanserte, vedvarende angrep.
