Rabattoffert för flera licenser
Hotdatabas Skadlig programvara ROAMINGMOUSE-skadlig programvara

ROAMINGMOUSE-skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

En hotbild från en nationell stat, känd som MirrorFace, har nyligen kopplats till cyberspionagekampanjer riktade mot myndigheter och offentliga institutioner i Japan och Taiwan. Denna aktör, som är knuten till Kina och även känd som Earth Kasha, fungerar som ett underkluster inom APT10 . I mars 2025 avslöjade säkerhetsforskare nya detaljer om gruppens aktiviteter, inklusive deras användning av avancerade skadliga program för spionage.

Operation AkaiRyū: En tidigare attack avslöjad

Utöver de pågående operationerna i Japan och Taiwan låg Earth Kasha även bakom Operation AkaiRyū, en cyberattack riktad mot en diplomatisk organisation i Europeiska unionen i augusti 2024. Denna operation innebar utplacering av ANEL-bakdörren, även känd som UPPERCUT, vilket belyser aktörens sofistikerade taktik för att få obehörig åtkomst till känsliga mål.

Attackstrategi: En bedräglig kedja av skadlig programvara

MirrorFace -operationen börjar med spear-phishing-mejl, vissa skickade från komprometterade legitima konton. Dessa mejl innehåller en korrupt Microsoft OneDrive-URL som, när den klickas, laddar ner en ZIP-fil. Inuti ZIP-arkivet fungerar ett Excel-dokument och en makroaktiverad dropper med kodnamnet ROAMINGMOUSE som leveransfordon för skadlig programvara. ROAMINGMOUSE, som använts av MirrorFace sedan förra året, avkodar och släpper ytterligare en ZIP-fil, som innehåller flera skadliga komponenter.

Viktiga komponenter i Malware Drop:

  • JSLNTOOL.exe, JSTIEE.exe eller JSVWMNG.exe: Legitima binärfiler
  • JSFC.dll (ANELLDR): En skadlig DLL-fil
  • Krypterad ANEL-nyttolast: Den huvudsakliga bakdörren
  • MSVCR100.dll: Ett legitimt DLL-beroende

När den har släppts använder den skadliga programvaran explorer.exe för att starta en legitim körbar fil och sidladdar ANEL-bakdörren genom den bedrägliga DLL-filen ANELLDR.

Förbättrade funktioner i ANEL: En ny era av cyberspionage

ANEL-bakdörren som användes i 2025-kampanjen inkluderar en betydande uppgradering: ett nytt kommando som stöder minnesbaserad exekvering av Beacon Object Files (BOF). BOF:er är små C-program utformade för att utöka Cobalt Strike- agentens funktioner och förbättra funktionerna efter utnyttjandet. När bakdörren är installerad kan Earth Kasha ta skärmdumpar, undersöka offrets miljö och samla in processlistor och domäninformation för vidare utnyttjande.

Utnyttja SharpHide och NOOPDOOR

I vissa fall har hotaktörerna bakom Earth Kasha använt SharpHide, ett verktyg med öppen källkod, för att lansera en ny version av NOOPDOOR-bakdörren (även känd som HiddenFace). Denna bakdörr har utformats för att undvika upptäckt genom att stödja DNS-over-HTTPS (DoH), vilket hjälper till att dölja IP-adresssökningar som används för kommando-och-kontrollkommunikation (C2).

Kontinuerlig hotbild och vaksamhet behövs

Earth Kasha är fortfarande ett aktivt och ihållande hot mot värdefulla tillgångar, inklusive känsliga myndighetsuppgifter, immateriella rättigheter och åtkomstuppgifter. Företag och organisationer, särskilt de inom sektorer relaterade till styrning och infrastruktur, måste fortsätta att implementera robusta cybersäkerhetsåtgärder för att skydda sig mot sådana avancerade, ihållande attacker.

Trendigt

Mest sedda

Läser in...