Škodlivý softvér ROAMINGMOUSE
Národná hrozba známa ako MirrorFace bola nedávno spojená s kybernetickými špionážnymi kampaňami zameranými na vládne agentúry a verejné inštitúcie v Japonsku a na Taiwane. Táto hrozba, spojená s Čínou a známa aj ako Earth Kasha, pôsobí ako podskupina v rámci APT10 . V marci 2025 bezpečnostní výskumníci odhalili nové podrobnosti o aktivitách skupiny vrátane používania pokročilých nástrojov na škodlivý softvér na špionáž.
Obsah
Operácia AkaiRyū: Odhalený predchádzajúci útok
Okrem prebiehajúcich operácií v Japonsku a na Taiwane stála spoločnosť Earth Kasha aj za operáciou AkaiRyū, kybernetickým útokom namiereným proti diplomatickej organizácii v Európskej únii v auguste 2024. Táto operácia zahŕňala nasadenie zadných vrátok ANEL, známych aj ako UPPERCUT, čo poukazuje na sofistikovanú taktiku aktéra pri získavaní neoprávneného prístupu k citlivým cieľom.
Stratégia útoku: Klamlivý reťazec škodlivého softvéru
Operácia MirrorFace začína phishingovými e-mailami, niektoré odoslanými z napadnutých legitímnych účtov. Tieto e-maily obsahujú poškodenú URL adresu Microsoft OneDrive, na ktorú sa po kliknutí stiahne súbor ZIP. V archíve ZIP slúži ako doručovací prostriedok pre malvér dokument programu Excel a nástroj s kódovým označením ROAMINGMOUSE s podporou makier. ROAMINGMOUSE, ktorý MirrorFace používa od minulého roka, dekóduje a umiestni ďalší súbor ZIP, ktorý obsahuje niekoľko škodlivých komponentov.
Kľúčové komponenty dropu škodlivého softvéru:
- JSLNTOOL.exe, JSTIEE.exe alebo JSVWMNG.exe: Legitímne binárne súbory
- JSFC.dll (ANELLDR): Škodlivý súbor DLL
- Šifrované užitočné zaťaženie ANEL: Hlavné zadné vrátka
- MSVCR100.dll: Legitímna závislosť DLL
Po nainštalovaní malvér použije súbor explorer.exe na spustenie legitímneho spustiteľného súboru a nainštaluje zadné vrátka ANEL prostredníctvom podvodnej knižnice DLL ANELLDR.
Vylepšené funkcie v hre ANEL: Nová éra kybernetickej špionáže
Backdoor ANEL použitý v kampani z roku 2025 obsahuje významnú aktualizáciu: nový príkaz, ktorý podporuje vykonávanie objektových súborov Beacon (BOF) v pamäti. BOF sú malé programy v jazyku C určené na rozšírenie možností agenta Cobalt Strike a vylepšenie funkcií po zneužití. Po nainštalovaní backdoor umožňuje Earth Kasha vytvárať snímky obrazovky, skúmať prostredie obete a zhromažďovať zoznamy procesov a informácie o doménach pre ďalšie zneužitie.
Využitie SharpHide a NOOPDOOR
V niektorých prípadoch útočníci stojaci za Earth Kasha využili SharpHide, nástroj s otvoreným zdrojovým kódom, na spustenie novej verzie zadných vrátok NOOPDOOR (známeho aj ako HiddenFace). Tieto zadné vrátka boli navrhnuté tak, aby sa vyhli odhaleniu podporou DNS-over-HTTPS (DoH), čo pomáha skryť vyhľadávanie IP adries používaných na komunikáciu Command-and-Control (C2).
Je potrebná neustála hrozba a ostražitosť
Earth Kasha zostáva aktívnou a pretrvávajúcou hrozbou zameranou na aktíva s vysokou hodnotou vrátane citlivých vládnych údajov, duševného vlastníctva a prístupových údajov. Podniky a organizácie, najmä tie v sektoroch súvisiacich s riadením vecí verejných a infraštruktúrou, musia naďalej zavádzať robustné opatrenia kybernetickej bezpečnosti na ochranu pred takýmito pokročilými a pretrvávajúcimi útokmi.
