มัลแวร์ ROAMINGMOUSE

MirrorFace ซึ่งเป็นกลุ่มที่ก่อภัยคุกคามต่อประเทศชาติเมื่อไม่นานมานี้ ถูกเชื่อมโยงกับแคมเปญจารกรรมทางไซเบอร์ที่กำหนดเป้าหมายไปที่หน่วยงานของรัฐและสถาบันสาธารณะในญี่ปุ่นและไต้หวัน โดยกลุ่มนี้ซึ่งสนับสนุนจีนและรู้จักกันในชื่อ Earth Kasha ดำเนินการเป็นกลุ่มย่อยภายใน APT10 เมื่อเดือนมีนาคม 2025 นักวิจัยด้านความปลอดภัยได้เปิดเผยรายละเอียดใหม่เกี่ยวกับกิจกรรมของกลุ่มนี้ รวมถึงการใช้เครื่องมือมัลแวร์ขั้นสูงเพื่อการจารกรรม

ปฏิบัติการ AkaiRyū: การโจมตีครั้งก่อนที่ถูกเปิดเผย

นอกเหนือจากปฏิบัติการที่กำลังดำเนินการอยู่ในญี่ปุ่นและไต้หวันแล้ว Earth Kasha ยังอยู่เบื้องหลังปฏิบัติการ AkaiRyū ซึ่งเป็นการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่องค์กรทางการทูตในสหภาพยุโรปในเดือนสิงหาคม 2024 ปฏิบัติการนี้เกี่ยวข้องกับการใช้งานแบ็คดอร์ ANEL หรือที่เรียกว่า UPPERCUT ซึ่งเน้นย้ำถึงกลยุทธ์อันซับซ้อนของผู้กระทำในการเข้าถึงเป้าหมายที่มีความอ่อนไหวโดยไม่ได้รับอนุญาต

กลยุทธ์การโจมตี: ห่วงโซ่มัลแวร์ที่หลอกลวง

ปฏิบัติการของ MirrorFace เริ่มต้นด้วยอีเมลฟิชชิ่งแบบเจาะจง ซึ่งบางฉบับส่งมาจากบัญชีที่ถูกบุกรุก อีเมลเหล่านี้มี URL ของ OneDrive ของ Microsoft ที่เสียหาย ซึ่งเมื่อคลิกแล้วจะดาวน์โหลดไฟล์ ZIP ภายในไฟล์ ZIP เอกสาร Excel และดรอปเปอร์ที่เปิดใช้งานแมโครที่มีชื่อรหัสว่า ROAMINGMOUSE ทำหน้าที่เป็นตัวส่งมัลแวร์ ROAMINGMOUSE ซึ่ง MirrorFace ใช้ตั้งแต่ปีที่แล้ว ถอดรหัสและดรอปเปอร์ไฟล์ ZIP เพิ่มเติม ซึ่งประกอบด้วยส่วนประกอบที่เป็นอันตรายหลายรายการ

ส่วนประกอบหลักของการป้องกันมัลแวร์:

• JSLNTOOL.exe, JSTIEE.exe หรือ JSVWMNG.exe: ไฟล์ไบนารีที่ถูกต้องตามกฎหมาย
• JSFC.dll (ANELLDR): DLL ที่เป็นอันตราย
• การเข้ารหัสข้อมูล ANEL: แบ็คดอร์หลัก
• MSVCR100.dll: การอ้างอิง DLL ที่ถูกต้องตามกฎหมาย

เมื่อปล่อยไปแล้ว มัลแวร์จะใช้ explorer.exe เพื่อเปิดไฟล์ปฏิบัติการที่ถูกกฎหมาย โดยโหลดแบ็คดอร์ ANEL ผ่าน DLL หลอกลวงที่ชื่อ ANELLDR

คุณสมบัติขั้นสูงใน ANEL: ยุคใหม่ของการจารกรรมทางไซเบอร์

แบ็คดอร์ ANEL ที่ใช้ในแคมเปญปี 2025 รวมถึงการอัปเกรดที่สำคัญ: คำสั่งใหม่ที่รองรับการดำเนินการไฟล์ Beacon Object (BOF) ในหน่วยความจำ BOF เป็นโปรแกรม C ขนาดเล็กที่ออกแบบมาเพื่อขยายขีดความสามารถของตัวแทน Cobalt Strike เพื่อปรับปรุงคุณสมบัติหลังการใช้ประโยชน์ เมื่อติดตั้งแล้ว แบ็คดอร์จะทำให้ Earth Kasha สามารถจับภาพหน้าจอ ตรวจสอบสภาพแวดล้อมของเหยื่อ และรวบรวมรายการกระบวนการและข้อมูลโดเมนสำหรับการใช้ประโยชน์เพิ่มเติม

การใช้ประโยชน์จาก SharpHide และ NOOPDOOR

ในบางกรณี ผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง Earth Kasha ได้ใช้ SharpHide ซึ่งเป็นเครื่องมือโอเพ่นซอร์ส เพื่อเปิดตัวแบ็คดอร์ NOOPDOOR เวอร์ชันใหม่ (หรือที่เรียกว่า HiddenFace) แบ็คดอร์นี้ได้รับการออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับโดยรองรับ DNS-over-HTTPS (DoH) ซึ่งช่วยปกปิดการค้นหาที่อยู่ IP ที่ใช้สำหรับการสื่อสารแบบ Command-and-Control (C2)

จำเป็นต้องมีการคุกคามและการเฝ้าระวังอย่างต่อเนื่อง

Earth Kasha ยังคงเป็นภัยคุกคามที่ยังคงดำเนินอยู่และต่อเนื่อง โดยมุ่งเป้าไปที่ทรัพย์สินที่มีมูลค่าสูง รวมถึงข้อมูลรัฐบาลที่ละเอียดอ่อน ทรัพย์สินทางปัญญา และข้อมูลรับรองการเข้าถึง องค์กรและธุรกิจ โดยเฉพาะในภาคส่วนที่เกี่ยวข้องกับการกำกับดูแลและโครงสร้างพื้นฐาน จะต้องดำเนินการตามมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งต่อไปเพื่อป้องกันการโจมตีขั้นสูงที่ต่อเนื่องดังกล่าว