Вредоносное ПО ROAMINGMOUSE
Группировка, представляющая угрозу национальному государству и известная как MirrorFace, недавно была связана с кампаниями кибершпионажа, нацеленными на правительственные агентства и государственные учреждения в Японии и Тайване. Эта группа, связанная с Китаем и также известная как Earth Kasha, действует как подкластер в APT10 . По состоянию на март 2025 года исследователи безопасности раскрыли новые подробности о деятельности группы, включая использование ими передовых вредоносных программ для шпионажа.
Оглавление
Операция AkaiRyū: раскрыта предыдущая атака
Помимо текущих операций в Японии и на Тайване, Earth Kasha также стояла за операцией AkaiRyū — кибератакой, направленной на дипломатическую организацию в Европейском союзе в августе 2024 года. Эта операция включала в себя развертывание бэкдора ANEL, также известного как UPPERCUT, что подчеркивает сложную тактику злоумышленников по получению несанкционированного доступа к конфиденциальным целям.
Стратегия атаки: обманчивая цепочка вредоносных программ
Операция MirrorFace начинается с фишинговых писем, некоторые из которых отправляются со взломанных легитимных аккаунтов. Эти письма содержат поврежденный URL-адрес Microsoft OneDrive, который при нажатии загружает ZIP-файл. Внутри ZIP-архива документ Excel и макрос-дроппер под кодовым названием ROAMINGMOUSE служат средством доставки вредоносного ПО. ROAMINGMOUSE, используемый MirrorFace с прошлого года, декодирует и сбрасывает дополнительный ZIP-файл, содержащий несколько вредоносных компонентов.
Ключевые компоненты вредоносного ПО:
- JSLNTOOL.exe, JSTIEE.exe или JSVWMNG.exe: легитимные двоичные файлы
- JSFC.dll (ANELLDR): вредоносная DLL
- Зашифрованная полезная нагрузка ANEL: основной бэкдор
- MSVCR100.dll: законная зависимость DLL
После установки вредоносная программа использует explorer.exe для запуска легитимного исполняемого файла, загружая бэкдор ANEL через мошенническую DLL-библиотеку ANELLDR.
Расширенные возможности ANEL: новая эра кибершпионажа
Бэкдор ANEL, используемый в кампании 2025 года, включает значительное обновление: новую команду, которая поддерживает выполнение в памяти файлов Beacon Object Files (BOF). BOF — это небольшие программы на языке C, разработанные для расширения возможностей агента Cobalt Strike , улучшая функции после эксплуатации. После установки бэкдор позволяет Earth Kasha делать снимки экрана, изучать среду жертвы и собирать списки процессов и информацию о домене для дальнейшей эксплуатации.
Использование SharpHide и NOOPDOOR
В некоторых случаях злоумышленники, стоящие за Earth Kasha, использовали SharpHide, инструмент с открытым исходным кодом, для запуска новой версии бэкдора NOOPDOOR (также известного как HiddenFace). Этот бэкдор был разработан для обхода обнаружения с помощью поддержки DNS-over-HTTPS (DoH), что помогает скрыть поиск IP-адресов, используемых для связи Command-and-Control (C2).
Постоянная угроза и необходимость бдительности
Earth Kasha остается активной и постоянной угрозой, нацеленной на ценные активы, включая конфиденциальные правительственные данные, интеллектуальную собственность и учетные данные доступа. Предприятия и организации, особенно в секторах, связанных с управлением и инфраструктурой, должны продолжать внедрять надежные меры кибербезопасности для защиты от таких продвинутых постоянных атак.
