ROAMINGMOUSE Malware

மிரர்ஃபேஸ் என்று அழைக்கப்படும் ஒரு தேசிய-அரசு அச்சுறுத்தல் நடிகர் சமீபத்தில் ஜப்பான் மற்றும் தைவானில் உள்ள அரசு நிறுவனங்கள் மற்றும் பொது நிறுவனங்களை குறிவைத்து சைபர் உளவு பிரச்சாரங்களுடன் இணைக்கப்பட்டுள்ளார். சீனாவுடன் இணைந்திருக்கும் இந்த நடிகர், எர்த் காஷா என்றும் அழைக்கப்படுகிறார், APT10 க்குள் ஒரு துணைக் கிளஸ்டராக செயல்படுகிறார். மார்ச் 2025 நிலவரப்படி, பாதுகாப்பு ஆராய்ச்சியாளர்கள் குழுவின் செயல்பாடுகள் பற்றிய புதிய விவரங்களை வெளிப்படுத்தினர், இதில் உளவு பார்ப்பதற்காக மேம்பட்ட தீம்பொருள் கருவிகளைப் பயன்படுத்துவதும் அடங்கும்.

ஆபரேஷன் அகாய் ரியூ: முந்தைய தாக்குதல் கண்டுபிடிக்கப்பட்டது

ஜப்பான் மற்றும் தைவானில் நடந்து வரும் நடவடிக்கைகளுக்கு மேலதிகமாக, ஆகஸ்ட் 2024 இல் ஐரோப்பிய ஒன்றியத்தில் உள்ள ஒரு இராஜதந்திர அமைப்பை இலக்காகக் கொண்ட சைபர் தாக்குதலான ஆபரேஷன் அகாய் ரியூவின் பின்னணியிலும் எர்த் காஷா இருந்தது. இந்த நடவடிக்கையில் UPPERCUT என்றும் அழைக்கப்படும் ANEL பின்கதவைப் பயன்படுத்துவதும் அடங்கும், இது முக்கியமான இலக்குகளுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெறுவதில் நடிகரின் அதிநவீன தந்திரோபாயங்களை எடுத்துக்காட்டுகிறது.

தாக்குதல் உத்தி: ஒரு ஏமாற்றும் தீம்பொருள் சங்கிலி

MirrorFace செயல்பாடு ஸ்பியர்-ஃபிஷிங் மின்னஞ்சல்களுடன் தொடங்குகிறது, சில சமரசம் செய்யப்பட்ட முறையான கணக்குகளிலிருந்து அனுப்பப்படுகின்றன. இந்த மின்னஞ்சல்களில் ஒரு சிதைந்த Microsoft OneDrive URL உள்ளது, அதை கிளிக் செய்தவுடன், ஒரு ZIP கோப்பைப் பதிவிறக்குகிறது. ZIP காப்பகத்திற்குள், ஒரு எக்செல் ஆவணம் மற்றும் ROAMINGMOUSE என்ற குறியீட்டுப் பெயரிடப்பட்ட மேக்ரோ-இயக்கப்பட்ட டிராப்பர் ஆகியவை தீம்பொருளுக்கான விநியோக வாகனமாகச் செயல்படுகின்றன. கடந்த ஆண்டு முதல் MirrorFace ஆல் பயன்படுத்தப்படும் ROAMINGMOUSE, பல தீங்கிழைக்கும் கூறுகளைக் கொண்ட கூடுதல் ZIP கோப்பை டிகோட் செய்து டிராப் செய்கிறது.

மால்வேர் டிராப்பின் முக்கிய கூறுகள்:

• JSLNTOOL.exe, JSTIEE.exe, அல்லது JSVWMNG.exe: சட்டபூர்வமான பைனரிகள்
• JSFC.dll (ANELLDR): ஒரு தீங்கிழைக்கும் DLL
• மறைகுறியாக்கப்பட்ட ANEL பேலோட்: முக்கிய பின்கதவு
• MSVCR100.dll: ஒரு முறையான DLL சார்புநிலை

ஒருமுறை கைவிடப்பட்டதும், தீம்பொருள் explorer.exe ஐப் பயன்படுத்தி ஒரு முறையான இயங்கக்கூடிய கோப்பைத் துவக்கி, மோசடியான DLL, ANELLDR மூலம் ANEL பின்கதவை ஓரங்கட்டுகிறது.

ANEL இல் மேம்படுத்தப்பட்ட அம்சங்கள்: சைபர் உளவுத்துறையின் புதிய சகாப்தம்

2025 பிரச்சாரத்தில் பயன்படுத்தப்பட்ட ANEL பின்கதவு ஒரு குறிப்பிடத்தக்க மேம்படுத்தலை உள்ளடக்கியது: பீக்கன் ஆப்ஜெக்ட் கோப்புகளை (BOFs) நினைவகத்தில் செயல்படுத்துவதை ஆதரிக்கும் ஒரு புதிய கட்டளை. BOFகள் என்பது கோபால்ட் ஸ்ட்ரைக் முகவரின் திறன்களை விரிவுபடுத்தவும், சுரண்டலுக்குப் பிந்தைய அம்சங்களை மேம்படுத்தவும் வடிவமைக்கப்பட்ட சிறிய C நிரல்களாகும். நிறுவப்பட்டதும், பின்கதவு எர்த் காஷாவை ஸ்கிரீன் ஷாட்களை எடுக்கவும், பாதிக்கப்பட்டவரின் சூழலை ஆராயவும், மேலும் சுரண்டலுக்காக செயல்முறை பட்டியல்கள் மற்றும் டொமைன் தகவல்களை சேகரிக்கவும் உதவுகிறது.

SharpHide மற்றும் NOOPDOOR ஐப் பயன்படுத்துதல்

சில சந்தர்ப்பங்களில், எர்த் காஷாவின் பின்னணியில் உள்ள அச்சுறுத்தல் நடிகர்கள், NOOPDOOR பின்கதவின் (HiddenFace என்றும் அழைக்கப்படுகிறது) புதிய பதிப்பை அறிமுகப்படுத்த, ஒரு திறந்த மூல கருவியான SharpHide ஐப் பயன்படுத்தியுள்ளனர். கட்டளை மற்றும் கட்டுப்பாடு (C2) தொடர்புக்கு பயன்படுத்தப்படும் IP முகவரி தேடல்களை மறைக்க உதவும் DNS-over-HTTPS (DoH) ஐ ஆதரிப்பதன் மூலம் கண்டறிதலைத் தவிர்க்க இந்த பின்கதவு வடிவமைக்கப்பட்டுள்ளது.

தொடர்ச்சியான அச்சுறுத்தலும் விழிப்புணர்வும் தேவை

எர்த் காஷா, முக்கியமான அரசாங்க தரவு, அறிவுசார் சொத்து மற்றும் அணுகல் சான்றுகள் உள்ளிட்ட அதிக மதிப்புள்ள சொத்துக்களை குறிவைத்து செயல்படும் மற்றும் தொடர்ச்சியான அச்சுறுத்தலாக உள்ளது. குறிப்பாக நிர்வாகம் மற்றும் உள்கட்டமைப்பு தொடர்பான துறைகளில் உள்ள நிறுவனங்கள் மற்றும் நிறுவனங்கள், இத்தகைய மேம்பட்ட, தொடர்ச்சியான தாக்குதல்களுக்கு எதிராக பாதுகாக்க வலுவான சைபர் பாதுகாப்பு நடவடிக்கைகளை தொடர்ந்து செயல்படுத்த வேண்டும்.