MirrorFace cílí na Japonsko a Tchaj-wan pomocí ROAMINGMOUSE a vylepšeného malwaru ANEL

28 května, 2025

Státem podporovaná hackerská skupina známá jako MirrorFace byla zaznamenána při nasazení malwaru s názvem ROAMINGMOUSE v rámci kyberšpionážní kampaně zaměřené na vládní agentury a veřejné instituce v Japonsku a na Tchaj-wanu.

Aktivita, kterou v březnu 2025 odhalila společnost Trend Micro, zahrnovala použití spear-phishingových návnad k doručení aktualizované verze zadních vrátek s názvem ANEL.

„Soubor ANEL z kampaně v roce 2025, o které se v tomto blogu diskutuje, implementoval nový příkaz pro podporu spouštění BOF (Beacon Object File) v paměti,“ uvedl bezpečnostní expert Hara Hiroaki. „Tato kampaň také pravděpodobně využila SharpHide k nasazení druhé fáze zadních vrátek NOOPDOOR.“

Tato hackerská skupina napojená na Čínu, známá také jako Earth Kasha, je považována za podskupinu v rámci APT10. V březnu 2025 společnost ESET osvětlila kampaň označovanou jako Operation AkaiRyū, která v srpnu 2024 cílila na diplomatickou organizaci v Evropské unii pomocí ANEL (také známý jako UPPERCUT).

Zaměření na různé japonské a tchajwanské subjekty ukazuje na pokračující rozšiřování jejich působnosti, protože se hackerská skupina snaží získávat informace k dosažení svých strategických cílů.

Útok začíná spear-phishingovým e-mailem – některé z nich jsou odesílány z legitimních, ale kompromitovaných účtů – který obsahuje vložený odkaz na Microsoft OneDrive, jenž následně stáhne ZIP soubor.

Archiv ZIP obsahuje Excel dokument infikovaný malwarem a makro-aktivovaný dropper s kódovým označením ROAMINGMOUSE, který slouží jako prostředník pro doručení komponent souvisejících s ANEL. Za zmínku stojí, že ROAMINGMOUSE je MirrorFace využíván již od roku 2024.

„ROAMINGMOUSE poté dekóduje vložený ZIP soubor pomocí Base64, uloží ZIP na disk a rozbalí jeho komponenty,“ uvedl Hiroaki. Tyto komponenty zahrnují:

– JSLNTOOL.exe, JSTIEE.exe nebo JSVWMNG.exe (legitimní binární soubor)

– JSFC.dll (ANELLDR)

– Šifrovaný payload ANEL

– MSVCR100.dll (legitimní DLL závislost spustitelného souboru)

Cílem útokového řetězce je spustit legitimní spustitelný soubor pomocí explorer.exe a následně jej využít k načtení škodlivé DLL knihovny, v tomto případě ANELLDR, která je zodpovědná za dešifrování a spuštění zadních vrátek ANEL.

Co je na artefaktu ANEL použitém v kampani 2025 pozoruhodné, je přidání nového příkazu pro podporu spouštění beacon object files (BOF) v paměti, což jsou zkompilované C programy určené k rozšíření agenta Cobalt Strike o nové post-exploitační funkce.

„Po instalaci souboru ANEL získali aktéři za Earth Kasha snímky obrazovky pomocí příkazu zadních vrátek a zkoumali prostředí oběti,“ vysvětluje Trend Micro. „Útočník zřejmě zkoumá oběť prohlížením snímků obrazovky, seznamů běžících procesů a informací o doméně.“

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS

Meta přidává reklamy ve vlákně Threads do svého Marketing API

Meta rozšiřuje dostupnost reklam na své platformě Threads a zároveň zpřístupňuje jejich správu skrze rozhraní Marketing API. Od 19. května 2025 mohou inzerenti vytvářet, spravovat

Číst dále »

30 května, 2025

Kraken spouští krypto futures v Evropě v rámci směrnice MiFID II

Kraken spustil sadu regulovaných krypto derivátů v Evropě, čímž rozšiřuje přístup jak k perpetual, tak k termínovaným kontraktům v rámci směrnice o trzích finančních nástrojů

Číst dále »

30 května, 2025

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz

AVERIA.NEWS by AVERIA LTD. © 2024 – Osobní údaje – Cookies
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom