Шкідливе програмне забезпечення ROAMINGMOUSE
Національну організацію-атаку, відому як MirrorFace, нещодавно пов'язали з кампаніями кібершпигунства, спрямованими проти урядових установ та державних установ у Японії та Тайвані. Ця організація, пов'язана з Китаєм та також відома як Earth Kasha, діє як підкластер у складі APT10 . Станом на березень 2025 року дослідники безпеки розкрили нові подробиці про діяльність групи, зокрема використання ними передових інструментів шкідливого програмного забезпечення для шпигунства.
Зміст
Операція AkaiRyū: Розкриття попередньої атаки
Окрім поточних операцій у Японії та Тайвані, Earth Kasha також стояла за операцією AkaiRyū, кібератакою, спрямованою на дипломатичну організацію в Європейському Союзі у серпні 2024 року. Ця операція включала розгортання бекдору ANEL, також відомого як UPPERCUT, що підкреслює витончену тактику виконавця щодо отримання несанкціонованого доступу до конфіденційних цілей.
Стратегія атаки: оманливий ланцюг шкідливого програмного забезпечення
Операція MirrorFace починається з фішингових електронних листів, деякі з яких надсилаються зі зламаних легітимних облікових записів. Ці листи містять пошкоджену URL-адресу Microsoft OneDrive, після натискання на яку завантажується ZIP-файл. Всередині ZIP-архіву документ Excel та програма-завантажувач із підтримкою макросів під кодовою назвою ROAMINGMOUSE слугують засобом доставки шкідливого програмного забезпечення. ROAMINGMOUSE, який MirrorFace використовує з минулого року, декодує та розкриває додатковий ZIP-файл, який містить кілька шкідливих компонентів.
Ключові компоненти системи видалення шкідливого програмного забезпечення:
- JSLNTOOL.exe, JSTIEE.exe або JSVWMNG.exe: Легітимні бінарні файли
- JSFC.dll (ANELLDR): Шкідлива DLL-бібліотека
- Зашифроване корисне навантаження ANEL: головний бекдор
- MSVCR100.dll: легітимна залежність DLL
Після встановлення шкідливе програмне забезпечення використовує explorer.exe для запуску легітимного виконуваного файлу, завантажуючи бекдор ANEL через шахрайську DLL-бібліотеку ANELLDR.
Покращені можливості в ANEL: Нова ера кібершпигунства
Бекдор ANEL, який використовувався в кампанії 2025 року, містить значне оновлення: нову команду, яка підтримує виконання файлів об'єктів Beacon (BOF) в пам'яті. BOF — це невеликі програми на C, розроблені для розширення можливостей агента Cobalt Strike , покращуючи функції після експлуатації. Після встановлення бекдор дозволяє Earth Kasha робити скріншоти, досліджувати середовище жертви та збирати списки процесів та інформацію про домен для подальшої експлуатації.
Використання SharpHide та NOOPDOOR
У деяких випадках зловмисники, що стоять за Earth Kasha, використовували SharpHide, інструмент з відкритим кодом, для запуску нової версії бекдора NOOPDOOR (також відомого як HiddenFace). Цей бекдор був розроблений для уникнення виявлення, підтримуючи DNS-over-HTTPS (DoH), що допомагає приховати пошук IP-адрес, що використовується для зв'язку Command-and-Control (C2).
Постійна загроза та необхідність пильності
Earth Kasha залишається активною та постійною загрозою, спрямованою на цінні активи, включаючи конфіденційні урядові дані, інтелектуальну власність та облікові дані доступу. Підприємства та організації, особливо ті, що працюють у секторах, пов'язаних з управлінням та інфраструктурою, повинні продовжувати впроваджувати надійні заходи кібербезпеки для захисту від таких складних, постійних атак.
