ROAMINGMOUSE Malware

मिररफेस भनेर चिनिने राष्ट्र-राज्य खतरा अभिनेता हालै जापान र ताइवानका सरकारी एजेन्सीहरू र सार्वजनिक संस्थाहरूलाई लक्षित गर्ने साइबर जासूसी अभियानहरूमा जोडिएको छ। चीनसँग मिल्दोजुल्दो र अर्थ काशा भनेर पनि चिनिने यो अभिनेता APT10 भित्र उप-क्लस्टरको रूपमा सञ्चालन हुन्छ। मार्च २०२५ सम्म, सुरक्षा अनुसन्धानकर्ताहरूले समूहका गतिविधिहरूको बारेमा नयाँ विवरणहरू प्रकट गरे, जसमा जासूसीको लागि उन्नत मालवेयर उपकरणहरूको प्रयोग समावेश छ।

अपरेशन अकाईर्यु: अघिल्लो आक्रमणको खुलासा

जापान र ताइवानमा भइरहेका अपरेशनहरूका अतिरिक्त, अर्थ काशा अगस्ट २०२४ मा युरोपेली संघको कूटनीतिक संस्थालाई लक्षित गरी गरिएको साइबर आक्रमण अपरेशन अकाईर्युको पछाडि पनि संलग्न थियो। यस अपरेशनमा ANEL ब्याकडोरको तैनाथी समावेश थियो, जसलाई UPPERCUT पनि भनिन्छ, जसले संवेदनशील लक्ष्यहरूमा अनधिकृत पहुँच प्राप्त गर्ने अभिनेताको परिष्कृत रणनीतिहरूलाई उजागर गर्दछ।

आक्रमण रणनीति: मालवेयरको भ्रामक श्रृंखला

मिररफेस अपरेशन स्पियर-फिसिङ इमेलहरूबाट सुरु हुन्छ, केही सम्झौता गरिएका वैध खाताहरूबाट पठाइन्छ। यी इमेलहरूमा भ्रष्ट माइक्रोसफ्ट वनड्राइभ URL हुन्छ जुन एक पटक क्लिक गरेपछि, ZIP फाइल डाउनलोड हुन्छ। ZIP अभिलेख भित्र, एक्सेल कागजात र ROAMINGMOUSE कोडनाम भएको म्याक्रो-सक्षम ड्रपरले मालवेयरको लागि डेलिभरी वाहनको रूपमा काम गर्दछ। मिररफेसद्वारा गत वर्षदेखि प्रयोग गरिएको ROAMINGMOUSE ले अतिरिक्त ZIP फाइल डिकोड र ड्रप गर्दछ, जसमा धेरै खराब कम्पोनेन्टहरू हुन्छन्।

मालवेयर ड्रपका प्रमुख घटकहरू:

• JSLNTOOL.exe, JSTIEE.exe, वा JSVWMNG.exe: वैध बाइनरीहरू
• JSFC.dll (ANELLDR): एक दुर्भावनापूर्ण DLL
• इन्क्रिप्टेड ANEL पेलोड: मुख्य ब्याकडोर
• MSVCR100.dll: एक वैध DLL निर्भरता

एकपटक खसालेपछि, मालवेयरले explorer.exe प्रयोग गरेर वैध कार्यान्वयनयोग्य फाइल सुरु गर्छ, जसले गर्दा ठगीपूर्ण DLL, ANELLDR मार्फत ANEL ब्याकडोरलाई साइडलोड गर्छ।

ANEL मा परिष्कृत सुविधाहरू: साइबर जासूसीको नयाँ युग

२०२५ अभियानमा प्रयोग गरिएको ANEL ब्याकडोरमा एउटा महत्त्वपूर्ण अपग्रेड समावेश छ: बीकन वस्तु फाइलहरू (BOFs) को इन-मेमोरी कार्यान्वयनलाई समर्थन गर्ने नयाँ कमाण्ड। BOF हरू कोबाल्ट स्ट्राइक एजेन्टको क्षमताहरू विस्तार गर्न, शोषण पछिका सुविधाहरू बढाउन डिजाइन गरिएका साना C प्रोग्रामहरू हुन्। एक पटक स्थापना भएपछि, ब्याकडोरले अर्थ काशालाई स्क्रिनसटहरू लिन, पीडितको वातावरणको जाँच गर्न, र थप शोषणको लागि प्रक्रिया सूचीहरू र डोमेन जानकारी सङ्कलन गर्न सक्षम बनाउँछ।

SharpHide र NOOPDOOR को लाभ उठाउँदै

केही उदाहरणहरूमा, अर्थ काशा पछाडिका खतरा अभिनेताहरूले NOOPDOOR ब्याकडोर (हिडनफेसको रूपमा पनि चिनिन्छ) को नयाँ संस्करण सुरु गर्न खुला-स्रोत उपकरण, SharpHide प्रयोग गरेका छन्। यो ब्याकडोर DNS-over-HTTPS (DoH) लाई समर्थन गरेर पत्ता लगाउनबाट बच्न डिजाइन गरिएको हो, जसले कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चारको लागि प्रयोग हुने IP ठेगाना लुकअपहरू लुकाउन मद्दत गर्दछ।

निरन्तर धम्की र सतर्कता आवश्यक छ

अर्थ काशा संवेदनशील सरकारी डेटा, बौद्धिक सम्पत्ति, र पहुँच प्रमाणहरू सहित उच्च-मूल्य सम्पत्तिहरूलाई लक्षित गर्ने सक्रिय र निरन्तर खतरा बनेको छ। उद्यम र संस्थाहरू, विशेष गरी शासन र पूर्वाधारसँग सम्बन्धित क्षेत्रहरूमा, त्यस्ता उन्नत, निरन्तर आक्रमणहरूबाट बच्न बलियो साइबर सुरक्षा उपायहरू लागू गर्न जारी राख्नुपर्छ।