ROAMINGMOUSE Malware

ਮਿਰਰਫੇਸ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਰਾਸ਼ਟਰ-ਰਾਜ ਧਮਕੀ ਐਕਟਰ ਨੂੰ ਹਾਲ ਹੀ ਵਿੱਚ ਜਾਪਾਨ ਅਤੇ ਤਾਈਵਾਨ ਵਿੱਚ ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ ਅਤੇ ਜਨਤਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀਆਂ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮਾਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਹ ਐਕਟਰ, ਚੀਨ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ ਅਤੇ ਅਰਥ ਕਾਸ਼ਾ ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, APT10 ਦੇ ਅੰਦਰ ਇੱਕ ਉਪ-ਕਲੱਸਟਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਮਾਰਚ 2025 ਤੱਕ, ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਮੂਹ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਬਾਰੇ ਨਵੇਂ ਵੇਰਵਿਆਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ ਜਾਸੂਸੀ ਲਈ ਉੱਨਤ ਮਾਲਵੇਅਰ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ।

ਓਪਰੇਸ਼ਨ ਅਕਾਈ ਰਯੂ: ਇੱਕ ਪਿਛਲਾ ਹਮਲਾ ਸਾਹਮਣੇ ਆਇਆ

ਜਾਪਾਨ ਅਤੇ ਤਾਈਵਾਨ ਵਿੱਚ ਚੱਲ ਰਹੇ ਕਾਰਜਾਂ ਤੋਂ ਇਲਾਵਾ, ਅਰਥ ਕਾਸ਼ਾ ਅਗਸਤ 2024 ਵਿੱਚ ਯੂਰਪੀਅਨ ਯੂਨੀਅਨ ਵਿੱਚ ਇੱਕ ਕੂਟਨੀਤਕ ਸੰਗਠਨ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਇੱਕ ਸਾਈਬਰ ਹਮਲੇ, ਓਪਰੇਸ਼ਨ ਅਕਾਈ ਰਯੂ ਦੇ ਪਿੱਛੇ ਵੀ ਸੀ। ਇਸ ਕਾਰਜ ਵਿੱਚ ANEL ਬੈਕਡੋਰ, ਜਿਸਨੂੰ UPPERCUT ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਦੀ ਤਾਇਨਾਤੀ ਸ਼ਾਮਲ ਸੀ, ਜੋ ਸੰਵੇਦਨਸ਼ੀਲ ਟੀਚਿਆਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਵਿੱਚ ਅਦਾਕਾਰ ਦੀਆਂ ਸੂਝਵਾਨ ਚਾਲਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।

ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ: ਮਾਲਵੇਅਰ ਦੀ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਲੜੀ

ਮਿਰਰਫੇਸ ਓਪਰੇਸ਼ਨ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਕੁਝ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਜਾਇਜ਼ ਖਾਤਿਆਂ ਤੋਂ ਭੇਜੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਈਮੇਲਾਂ ਵਿੱਚ ਇੱਕ ਖਰਾਬ ਮਾਈਕ੍ਰੋਸਾਫਟ OneDrive URL ਹੁੰਦਾ ਹੈ, ਜੋ ਇੱਕ ਵਾਰ ਕਲਿੱਕ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇੱਕ ZIP ਫਾਈਲ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ। ZIP ਆਰਕਾਈਵ ਦੇ ਅੰਦਰ, ਇੱਕ ਐਕਸਲ ਦਸਤਾਵੇਜ਼ ਅਤੇ ROAMINGMOUSE ਕੋਡਨੇਮ ਵਾਲਾ ਇੱਕ ਮੈਕਰੋ-ਸਮਰਥਿਤ ਡਰਾਪਰ ਮਾਲਵੇਅਰ ਲਈ ਡਿਲੀਵਰੀ ਵਾਹਨ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ROAMINGMOUSE, ਜੋ ਕਿ ਪਿਛਲੇ ਸਾਲ ਤੋਂ MirrorFace ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਵਾਧੂ ZIP ਫਾਈਲ ਨੂੰ ਡੀਕੋਡ ਕਰਦਾ ਹੈ ਅਤੇ ਛੱਡਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਕਈ ਖਤਰਨਾਕ ਹਿੱਸੇ ਹੁੰਦੇ ਹਨ।

ਮਾਲਵੇਅਰ ਡ੍ਰੌਪ ਦੇ ਮੁੱਖ ਹਿੱਸੇ:

• JSLNTOOL.exe, JSTIEE.exe, ਜਾਂ JSVWMNG.exe: ਜਾਇਜ਼ ਬਾਈਨਰੀ
• JSFC.dll (ANELLDR): ਇੱਕ ਖਤਰਨਾਕ DLL
• ਏਨਕ੍ਰਿਪਟਡ ANEL ਪੇਲੋਡ: ਮੁੱਖ ਬੈਕਡੋਰ
• MSVCR100.dll: ਇੱਕ ਜਾਇਜ਼ DLL ਨਿਰਭਰਤਾ

ਇੱਕ ਵਾਰ ਛੱਡਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਇੱਕ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਲਾਂਚ ਕਰਨ ਲਈ explorer.exe ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਧੋਖਾਧੜੀ ਵਾਲੇ DLL, ANELLDR ਰਾਹੀਂ ANEL ਬੈਕਡੋਰ ਨੂੰ ਸਾਈਡਲੋਡ ਕਰਦਾ ਹੈ।

ANEL ਵਿੱਚ ਵਧੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ: ਸਾਈਬਰ ਜਾਸੂਸੀ ਦਾ ਇੱਕ ਨਵਾਂ ਯੁੱਗ

2025 ਮੁਹਿੰਮ ਵਿੱਚ ਵਰਤੇ ਗਏ ANEL ਬੈਕਡੋਰ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਅਪਗ੍ਰੇਡ ਸ਼ਾਮਲ ਹੈ: ਇੱਕ ਨਵੀਂ ਕਮਾਂਡ ਜੋ ਬੀਕਨ ਆਬਜੈਕਟ ਫਾਈਲਾਂ (BOFs) ਦੇ ਇਨ-ਮੈਮੋਰੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦਾ ਸਮਰਥਨ ਕਰਦੀ ਹੈ। BOFs ਛੋਟੇ C ਪ੍ਰੋਗਰਾਮ ਹਨ ਜੋ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਏਜੰਟ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵਧਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ, ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਬੈਕਡੋਰ ਅਰਥ ਕਾਸ਼ਾ ਨੂੰ ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣ, ਪੀੜਤ ਦੇ ਵਾਤਾਵਰਣ ਦੀ ਜਾਂਚ ਕਰਨ ਅਤੇ ਹੋਰ ਸ਼ੋਸ਼ਣ ਲਈ ਪ੍ਰਕਿਰਿਆ ਸੂਚੀਆਂ ਅਤੇ ਡੋਮੇਨ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਸ਼ਾਰਪਹਾਈਡ ਅਤੇ ਨੂਪਡੋਰ ਦਾ ਲਾਭ ਉਠਾਉਣਾ

ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਅਰਥ ਕਾਸ਼ਾ ਦੇ ਪਿੱਛੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ NOOPDOOR ਬੈਕਡੋਰ (ਜਿਸਨੂੰ HiddenFace ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦਾ ਇੱਕ ਨਵਾਂ ਸੰਸਕਰਣ ਲਾਂਚ ਕਰਨ ਲਈ ਸ਼ਾਰਪਹਾਈਡ, ਇੱਕ ਓਪਨ-ਸੋਰਸ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਇਸ ਬੈਕਡੋਰ ਨੂੰ DNS-over-HTTPS (DoH) ਦਾ ਸਮਰਥਨ ਕਰਕੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰ ਲਈ ਵਰਤੇ ਜਾਂਦੇ IP ਐਡਰੈੱਸ ਲੁੱਕਅੱਪ ਨੂੰ ਲੁਕਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ।

ਲਗਾਤਾਰ ਧਮਕੀ ਅਤੇ ਚੌਕਸੀ ਦੀ ਲੋੜ ਹੈ

ਅਰਥ ਕਾਸ਼ਾ ਇੱਕ ਸਰਗਰਮ ਅਤੇ ਨਿਰੰਤਰ ਖ਼ਤਰਾ ਬਣਿਆ ਹੋਇਆ ਹੈ ਜੋ ਉੱਚ-ਮੁੱਲ ਵਾਲੀਆਂ ਸੰਪਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਸਰਕਾਰੀ ਡੇਟਾ, ਬੌਧਿਕ ਸੰਪਤੀ, ਅਤੇ ਪਹੁੰਚ ਪ੍ਰਮਾਣ ਪੱਤਰ ਸ਼ਾਮਲ ਹਨ। ਉੱਦਮਾਂ ਅਤੇ ਸੰਗਠਨਾਂ, ਖਾਸ ਤੌਰ 'ਤੇ ਸ਼ਾਸਨ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸਬੰਧਤ ਖੇਤਰਾਂ ਵਿੱਚ, ਨੂੰ ਅਜਿਹੇ ਉੱਨਤ, ਨਿਰੰਤਰ ਹਮਲਿਆਂ ਤੋਂ ਬਚਣ ਲਈ ਮਜ਼ਬੂਤ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਜਾਰੀ ਰੱਖਣਾ ਚਾਹੀਦਾ ਹੈ।