ROAMINGMOUSE Malware

మిర్రర్‌ఫేస్ అని పిలువబడే ఒక దేశ-రాష్ట్ర బెదిరింపు నటుడు ఇటీవల జపాన్ మరియు తైవాన్‌లోని ప్రభుత్వ సంస్థలు మరియు ప్రభుత్వ సంస్థలను లక్ష్యంగా చేసుకుని సైబర్ గూఢచర్యం ప్రచారాలకు లింక్ చేయబడ్డాడు. చైనాతో జతకట్టిన మరియు ఎర్త్ కాషా అని కూడా పిలువబడే ఈ నటుడు APT10 లో ఉప-క్లస్టర్‌గా పనిచేస్తున్నాడు. మార్చి 2025 నాటికి, భద్రతా పరిశోధకులు గూఢచర్యం కోసం అధునాతన మాల్వేర్ సాధనాలను ఉపయోగించడంతో సహా సమూహం యొక్క కార్యకలాపాల గురించి కొత్త వివరాలను వెల్లడించారు.

ఆపరేషన్ అకైర్యు: గతంలో జరిగిన దాడి బయటపడింది

జపాన్ మరియు తైవాన్‌లలో కొనసాగుతున్న కార్యకలాపాలతో పాటు, ఆగస్టు 2024లో యూరోపియన్ యూనియన్‌లోని ఒక దౌత్య సంస్థను లక్ష్యంగా చేసుకుని జరిగిన సైబర్ దాడి ఆపరేషన్ అకైర్యు వెనుక కూడా ఎర్త్ కాషా ఉంది. ఈ ఆపరేషన్‌లో ANEL బ్యాక్‌డోర్‌ను మోహరించడం జరిగింది, దీనిని UPPERCUT అని కూడా పిలుస్తారు, ఇది సున్నితమైన లక్ష్యాలకు అనధికార ప్రాప్యతను పొందడంలో నటుడి అధునాతన వ్యూహాలను హైలైట్ చేస్తుంది.

దాడి వ్యూహం: మోసపూరిత మాల్వేర్ గొలుసు

మిర్రర్‌ఫేస్ ఆపరేషన్ స్పియర్-ఫిషింగ్ ఇమెయిల్‌లతో ప్రారంభమవుతుంది, కొన్ని రాజీపడిన చట్టబద్ధమైన ఖాతాల నుండి పంపబడతాయి. ఈ ఇమెయిల్‌లలో పాడైన Microsoft OneDrive URL ఉంటుంది, అది ఒకసారి క్లిక్ చేసిన తర్వాత, ZIP ఫైల్‌ను డౌన్‌లోడ్ చేస్తుంది. ZIP ఆర్కైవ్ లోపల, ఒక Excel డాక్యుమెంట్ మరియు ROAMINGMOUSE అనే కోడ్‌నేమ్ ఉన్న మాక్రో-ఎనేబుల్డ్ డ్రాపర్ మాల్వేర్ కోసం డెలివరీ వాహనంగా పనిచేస్తాయి. గత సంవత్సరం నుండి MirrorFace ద్వారా ఉపయోగించబడుతున్న ROAMINGMOUSE, అనేక హానికరమైన భాగాలను కలిగి ఉన్న అదనపు ZIP ఫైల్‌ను డీకోడ్ చేసి డ్రాప్ చేస్తుంది.

మాల్వేర్ డ్రాప్ యొక్క ముఖ్య భాగాలు:

• JSLNTOOL.exe, JSTIEE.exe, లేదా JSVWMNG.exe: చట్టబద్ధమైన బైనరీలు
• JSFC.dll (ANELLDR): ఒక హానికరమైన DLL
• ఎన్‌క్రిప్టెడ్ ANEL పేలోడ్: ప్రధాన బ్యాక్‌డోర్
• MSVCR100.dll: చట్టబద్ధమైన DLL ఆధారపడటం

ఒకసారి పడిపోయిన తర్వాత, మాల్వేర్ explorer.exeని ఉపయోగించి చట్టబద్ధమైన ఎక్జిక్యూటబుల్‌ను ప్రారంభిస్తుంది, మోసపూరిత DLL, ANELLDR ద్వారా ANEL బ్యాక్‌డోర్‌ను సైడ్‌లోడ్ చేస్తుంది.

ANELలో మెరుగైన ఫీచర్లు: సైబర్ గూఢచర్యం యొక్క కొత్త యుగం

2025 ప్రచారంలో ఉపయోగించిన ANEL బ్యాక్‌డోర్‌లో ఒక ముఖ్యమైన అప్‌గ్రేడ్ ఉంది: బీకాన్ ఆబ్జెక్ట్ ఫైల్స్ (BOFలు) యొక్క ఇన్-మెమరీ అమలుకు మద్దతు ఇచ్చే కొత్త కమాండ్. BOFలు కోబాల్ట్ స్ట్రైక్ ఏజెంట్ యొక్క సామర్థ్యాలను విస్తరించడానికి, దోపిడీ తర్వాత లక్షణాలను మెరుగుపరచడానికి రూపొందించబడిన చిన్న C ప్రోగ్రామ్‌లు. ఇన్‌స్టాల్ చేసిన తర్వాత, బ్యాక్‌డోర్ ఎర్త్ కాషా స్క్రీన్‌షాట్‌లను తీయడానికి, బాధితుడి వాతావరణాన్ని పరిశీలించడానికి మరియు తదుపరి దోపిడీ కోసం ప్రాసెస్ జాబితాలు మరియు డొమైన్ సమాచారాన్ని సేకరించడానికి వీలు కల్పిస్తుంది.

SharpHide మరియు NOOPDOOR లను ఉపయోగించడం

కొన్ని సందర్భాల్లో, ఎర్త్ కాషా వెనుక ఉన్న బెదిరింపు నటులు NOOPDOOR బ్యాక్‌డోర్ (హిడెన్‌ఫేస్ అని కూడా పిలుస్తారు) యొక్క కొత్త వెర్షన్‌ను ప్రారంభించడానికి ఓపెన్-సోర్స్ సాధనం అయిన షార్ప్‌హైడ్‌ను ఉపయోగించారు. కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్ కోసం ఉపయోగించే IP చిరునామా శోధనలను దాచడంలో సహాయపడే DNS-ఓవర్-HTTPS (DoH)కి మద్దతు ఇవ్వడం ద్వారా గుర్తింపును తప్పించుకోవడానికి ఈ బ్యాక్‌డోర్ రూపొందించబడింది.

నిరంతర బెదిరింపు మరియు అప్రమత్తత అవసరం

సున్నితమైన ప్రభుత్వ డేటా, మేధో సంపత్తి మరియు యాక్సెస్ ఆధారాలు వంటి అధిక-విలువ ఆస్తులను లక్ష్యంగా చేసుకుని ఎర్త్ కాషా చురుకైన మరియు నిరంతర ముప్పుగా ఉంది. ముఖ్యంగా పాలన మరియు మౌలిక సదుపాయాలకు సంబంధించిన రంగాలలోని సంస్థలు మరియు సంస్థలు, అటువంటి అధునాతన, నిరంతర దాడుల నుండి రక్షణ కల్పించడానికి బలమైన సైబర్ భద్రతా చర్యలను అమలు చేయడం కొనసాగించాలి.