ROAMINGMOUSE Malware
Një aktor kërcënimi shtetëror-komb i njohur si MirrorFace është lidhur së fundmi me fushata spiunazhi kibernetik që synojnë agjencitë qeveritare dhe institucionet publike në Japoni dhe Tajvan. Ky aktor, i lidhur me Kinën dhe i njohur gjithashtu si Earth Kasha, vepron si një nën-grup brenda APT10 . Që nga marsi i vitit 2025, studiuesit e sigurisë zbuluan detaje të reja rreth aktiviteteve të grupit, duke përfshirë përdorimin e tyre të mjeteve të përparuara të malware për spiunazh.
Tabela e Përmbajtjes
Operacioni AkaiRyū: Një sulm i mëparshëm i zbuluar
Përveç operacioneve të vazhdueshme në Japoni dhe Tajvan, Earth Kasha ishte gjithashtu pas Operacionit AkaiRyū, një sulm kibernetik që synonte një organizatë diplomatike në Bashkimin Evropian në gusht 2024. Ky operacion përfshinte vendosjen e derës së pasme të ANEL, e njohur edhe si UPPERCUT, duke nxjerrë në pah taktikat e sofistikuara të aktorit në fitimin e aksesit të paautorizuar në objektiva të ndjeshëm.
Strategjia e Sulmit: Një Zinxhir Mashtrues i Malware-it
Operacioni MirrorFace fillon me email-e spear-phishing, disa të dërguara nga llogari legjitime të kompromentuara. Këto email-e përmbajnë një URL të korruptuar të Microsoft OneDrive që, pasi klikohet, shkarkon një skedar ZIP. Brenda arkivit ZIP, një dokument Excel dhe një program lëshues i aktivizuar nga makro me emrin e koduar ROAMINGMOUSE shërbejnë si mjet shpërndarjeje për malware-in. ROAMINGMOUSE, i përdorur nga MirrorFace që nga viti i kaluar, dekodon dhe lëshon një skedar shtesë ZIP, i cili përmban disa komponentë keqdashës.
Komponentët kryesorë të Malware Drop:
- JSLNTOOL.exe, JSTIEE.exe ose JSVWMNG.exe: Binarë legjitimë
- JSFC.dll (ANELLDR): Një DLL keqdashëse
- Ngarkesa ANEL e enkriptuar: Dera kryesore e pasme
- MSVCR100.dll: Një varësi legjitime e DLL-së
Pasi të hidhet në sistem, programi keqdashës përdor explorer.exe për të nisur një skedar ekzekutues legjitim, duke ngarkuar anash derën e pasme të ANEL përmes DLL-së mashtruese, ANELLDR.
Karakteristika të Përmirësuara në ANEL: Një Epokë e Re e Spiunazhit Kibernetik
Dera e pasme e ANEL e përdorur në fushatën 2025 përfshin një përmirësim të rëndësishëm: një komandë të re që mbështet ekzekutimin në kujtesë të Beacon Object Files (BOF). BOF-të janë programe të vogla C të dizajnuara për të zgjeruar aftësitë e agjentit Cobalt Strike , duke përmirësuar veçoritë pas shfrytëzimit. Pasi të instalohet, dera e pasme i mundëson Earth Kasha të bëjë pamje të ekranit, të shqyrtojë mjedisin e viktimës dhe të mbledhë lista procesesh dhe informacione domeni për shfrytëzim të mëtejshëm.
Duke përdorur SharpHide dhe NOOPDOOR
Në disa raste, aktorët kërcënues pas Earth Kasha kanë përdorur SharpHide, një mjet me burim të hapur, për të lançuar një version të ri të derës së pasme NOOPDOOR (e njohur edhe si HiddenFace). Kjo derë e pasme është projektuar për të shmangur zbulimin duke mbështetur DNS-mbi-HTTPS (DoH), i cili ndihmon në fshehjen e kërkimeve të adresës IP të përdorura për komunikimin Command-and-Control (C2).
Nevojitet kërcënim dhe vigjilencë e vazhdueshme
Earth Kasha mbetet një kërcënim aktiv dhe i vazhdueshëm që synon asetet me vlerë të lartë, duke përfshirë të dhënat e ndjeshme qeveritare, pronën intelektuale dhe kredencialet e aksesit. Ndërmarrjet dhe organizatat, veçanërisht ato në sektorët që lidhen me qeverisjen dhe infrastrukturën, duhet të vazhdojnë të zbatojnë masa të forta të sigurisë kibernetike për t'u mbrojtur nga sulme të tilla të përparuara dhe të vazhdueshme.
