Злонамерни софтвер ROAMINGMOUSE
Национални актер претње познат као MirrorFace недавно је повезан са кампањама сајбер шпијунаже усмереним на владине агенције и јавне институције у Јапану и Тајвану. Овај актер, повезан са Кином и познат и као Earth Kasha, делује као подгрупа унутар APT10 . Од марта 2025. године, истраживачи безбедности открили су нове детаље о активностима групе, укључујући њихово коришћење напредних алата за злонамерни софтвер за шпијунажу.
Преглед садржаја
Операција АкаиРју: Откривен претходни напад
Поред текућих операција у Јапану и Тајвану, Earth Kasha је такође стајао иза операције AkaiRyū, сајбер напада усмереног на дипломатску организацију у Европској унији у августу 2024. године. Ова операција је укључивала постављање ANEL задњих врата, познатих и као UPPERCUT, што истиче софистицирану тактику актера у добијању неовлашћеног приступа осетљивим циљевима.
Стратегија напада: Обмањујући ланац злонамерног софтвера
Операција MirrorFace почиње фишинг имејловима, од којих су неки послати са угрожених легитимних налога. Ови имејлови садрже оштећени Microsoft OneDrive URL који, када се на њега кликне, преузима ZIP датотеку. Унутар ZIP архиве, Excel документ и макро-омогућен дропер под кодним називом ROAMINGMOUSE служе као средство за испоруку злонамерног софтвера. ROAMINGMOUSE, који MirrorFace користи од прошле године, декодира и испушта додатну ZIP датотеку која садржи неколико злонамерних компоненти.
Кључне компоненте уклањања злонамерног софтвера:
- JSLNTOOL.exe, JSTIEE.exe или JSVWMNG.exe: Легитимне бинарне датотеке
- JSFC.dll (ANELLDR): Злонамерна DLL датотека
- Шифровани ANEL корисни терет: Главна задња врата
- MSVCR100.dll: Легитимна зависност од DLL датотеке
Једном инсталиран, злонамерни софтвер користи explorer.exe да покрене легитимну извршну датотеку, учитавајући ANEL задња врата путем лажне DLL датотеке, ANELLDR.
Побољшане функције у ANEL-у: Нова ера сајбер шпијунаже
ANEL задња врата коришћена у кампањи 2025. године укључују значајно побољшање: нову команду која подржава извршавање Beacon Object Files (BOF) у меморији. BOF-ови су мали C програми дизајнирани да прошире могућности агента Cobalt Strike , побољшавајући функције након експлоатације. Једном инсталирана, задња врата омогућавају Earth Kasha-и да прави снимке екрана, испитује окружење жртве и прикупља листе процеса и информације о домену за даљу експлоатацију.
Коришћење SharpHide-а и NOOPDOOR-а
У неким случајевима, претње које стоје иза Earth Kasha користиле су SharpHide, алат отвореног кода, да би покренуле нову верзију NOOPDOOR бекдора (познатог и као HiddenFace). Овај бекдор је дизајниран да избегне откривање подржавајући DNS-over-HTTPS (DoH), што помаже у сакривању претрага IP адреса које се користе за комуникацију типа „Command-and-Control“ (C2).
Потребна је стална претња и будност
Earth Kasha остаје активна и упорна претња усмерена на имовину високе вредности, укључујући осетљиве владине податке, интелектуалну својину и приступне акредитиве. Предузећа и организације, посебно оне у секторима везаним за управљање и инфраструктуру, морају наставити да примењују робусне мере сајбер безбедности како би се заштитиле од таквих напредних, упорних напада.
