Zlonamerna programska oprema ROAMINGMOUSE
Nacionalna državna skupina, znana kot MirrorFace, je bila nedavno povezana s kampanjami kibernetskega vohunjenja, usmerjenimi proti vladnim agencijam in javnim ustanovam na Japonskem in Tajvanu. Ta skupina, povezana s Kitajsko in znana tudi kot Earth Kasha, deluje kot podskupina znotraj APT10 . Marca 2025 so varnostni raziskovalci razkrili nove podrobnosti o dejavnostih skupine, vključno z uporabo naprednih orodij za zlonamerno programsko opremo za vohunjenje.
Kazalo
Operacija AkaiRyū: Odkrit prejšnji napad
Poleg tekočih operacij na Japonskem in Tajvanu je Earth Kasha stala tudi za operacijo AkaiRyū, kibernetskim napadom, namenjenim diplomatski organizaciji v Evropski uniji avgusta 2024. Ta operacija je vključevala uporabo zadnjih vrat ANEL, znanih tudi kot UPPERCUT, kar je poudarilo akterjevo prefinjeno taktiko pri pridobivanju nepooblaščenega dostopa do občutljivih ciljev.
Strategija napada: Zavajajoča veriga zlonamerne programske opreme
Operacija MirrorFace se začne z lažnimi e-poštnimi sporočili, nekatera poslana z ogroženih legitimnih računov. Ta e-poštna sporočila vsebujejo poškodovan URL Microsoft OneDrive, ki ob kliku prenese datoteko ZIP. V arhivu ZIP se kot dostavno sredstvo za zlonamerno programsko opremo nahaja Excelov dokument in program za spuščanje makrov s kodnim imenom ROAMINGMOUSE. ROAMINGMOUSE, ki ga MirrorFace uporablja od lanskega leta, dekodira in spusti dodatno datoteko ZIP, ki vsebuje več zlonamernih komponent.
Ključne komponente odstranjevanja zlonamerne programske opreme:
- JSLNTOOL.exe, JSTIEE.exe ali JSVWMNG.exe: legitimne binarne datoteke
- JSFC.dll (ANELLDR): Zlonamerna datoteka DLL
- Šifrirani ANEL koristni naklad: Glavna zadnja vrata
- MSVCR100.dll: Legitimna odvisnost od DLL-ja
Ko je zlonamerna programska oprema nameščena, z datoteko explorer.exe zažene legitimno izvedljivo datoteko in naloži zadnja vrata ANEL prek goljufive datoteke DLL, ANELLDR.
Izboljšane funkcije v igri ANEL: Nova doba kibernetskega vohunjenja
Zadnja vrata ANEL, uporabljena v kampanji 2025, vključujejo pomembno nadgradnjo: nov ukaz, ki podpira izvajanje objektnih datotek Beacon (BOF) v pomnilniku. BOF-i so majhni programi v jeziku C, zasnovani za razširitev zmogljivosti agenta Cobalt Strike in izboljšanje funkcij po izkoriščanju. Ko so nameščena, zadnja vrata omogočajo Earth Kashi, da naredi posnetke zaslona, pregleda okolje žrtve ter zbere sezname procesov in informacije o domenah za nadaljnje izkoriščanje.
Izkoriščanje SharpHide in NOOPDOOR
V nekaterih primerih so akterji grožnje, ki stojijo za Earth Kasho, uporabili SharpHide, orodje z odprto kodo, za lansiranje nove različice zadnjih vrat NOOPDOOR (znanih tudi kot HiddenFace). Ta zadnja vrata so bila zasnovana tako, da se izognejo odkrivanju s podporo DNS-over-HTTPS (DoH), ki pomaga prikriti iskanja naslovov IP, ki se uporabljajo za komunikacijo Command-and-Control (C2).
Potrebna je stalna grožnja in budnost
Earth Kasha ostaja aktivna in vztrajna grožnja, ki cilja na dragocena sredstva, vključno z občutljivimi vladnimi podatki, intelektualno lastnino in dostopnimi podatki. Podjetja in organizacije, zlasti tiste v sektorjih, povezanih z upravljanjem in infrastrukturo, morajo še naprej izvajati robustne ukrepe kibernetske varnosti za zaščito pred takimi naprednimi in vztrajnimi napadi.
