ROAMINGMOUSE-Malware
Ein staatlicher Bedrohungsakteur namens MirrorFace wurde kürzlich mit Cyberspionagekampagnen gegen Regierungsbehörden und öffentliche Einrichtungen in Japan und Taiwan in Verbindung gebracht. Dieser mit China verbundene Akteur, auch bekannt als Earth Kasha, agiert als Untercluster innerhalb von APT10 . Im März 2025 enthüllten Sicherheitsforscher neue Details über die Aktivitäten der Gruppe, darunter den Einsatz fortschrittlicher Schadsoftware-Tools für Spionagezwecke.
Inhaltsverzeichnis
Operation AkaiRyū: Ein früherer Angriff aufgedeckt
Zusätzlich zu den laufenden Operationen in Japan und Taiwan steckte Earth Kasha auch hinter der Operation AkaiRyū, einem Cyberangriff auf eine diplomatische Organisation in der Europäischen Union im August 2024. Im Rahmen dieser Operation wurde die ANEL-Hintertür, auch bekannt als UPPERCUT, eingesetzt, was die ausgeklügelte Taktik des Akteurs verdeutlicht, sich unbefugten Zugriff auf sensible Ziele zu verschaffen.
Angriffsstrategie: Eine trügerische Malware-Kette
Die MirrorFace -Attacke beginnt mit Spear-Phishing-E-Mails, die teilweise von kompromittierten legitimen Konten gesendet werden. Diese E-Mails enthalten eine korrupte Microsoft OneDrive-URL, die beim Anklicken eine ZIP-Datei herunterlädt. Im ZIP-Archiv befinden sich ein Excel-Dokument und ein makrofähiger Dropper mit dem Codenamen ROAMINGMOUSE, der als Transportmedium für die Schadsoftware dient. ROAMINGMOUSE, das MirrorFace seit letztem Jahr nutzt, dekodiert und legt eine weitere ZIP-Datei ab, die mehrere schädliche Komponenten enthält.
Schlüsselkomponenten des Malware Drop:
- JSLNTOOL.exe, JSTIEE.exe oder JSVWMNG.exe: Legitime Binärdateien
- JSFC.dll (ANELLDR): Eine bösartige DLL
- Verschlüsselte ANEL-Nutzlast: Die wichtigste Hintertür
- MSVCR100.dll: Eine legitime DLL-Abhängigkeit
Nach dem Einschleusen verwendet die Malware explorer.exe, um eine legitime ausführbare Datei zu starten und die ANEL-Hintertür über die betrügerische DLL ANELLDR zu laden.
Erweiterte Funktionen in ANEL: Eine neue Ära der Cyber-Spionage
Die in der Kampagne 2025 verwendete ANEL-Backdoor enthält ein wichtiges Upgrade: einen neuen Befehl, der die In-Memory-Ausführung von Beacon Object Files (BOFs) unterstützt. BOFs sind kleine C-Programme, die die Fähigkeiten des Cobalt Strike- Agenten erweitern und die Post-Exploitation-Funktionen verbessern. Nach der Installation ermöglicht die Backdoor Earth Kasha, Screenshots zu erstellen, die Umgebung des Opfers zu untersuchen und Prozesslisten sowie Domäneninformationen für weitere Angriffe zu sammeln.
Nutzung von SharpHide und NOOPDOOR
In einigen Fällen nutzten die Angreifer hinter Earth Kasha das Open-Source-Tool SharpHide, um eine neue Version der NOOPDOOR-Backdoor (auch bekannt als HiddenFace) zu veröffentlichen. Diese Backdoor wurde entwickelt, um der Erkennung durch die Unterstützung von DNS-over-HTTPS (DoH) zu entgehen. Dies trägt dazu bei, die für die Command-and-Control-Kommunikation (C2) verwendeten IP-Adresssuchen zu verbergen.
Anhaltende Bedrohung und Wachsamkeit erforderlich
Earth Kasha bleibt eine aktive und anhaltende Bedrohung, die auf wertvolle Vermögenswerte wie sensible Regierungsdaten, geistiges Eigentum und Zugangsdaten abzielt. Unternehmen und Organisationen, insbesondere in den Bereichen Verwaltung und Infrastruktur, müssen weiterhin robuste Cybersicherheitsmaßnahmen implementieren, um sich vor solchen komplexen und anhaltenden Angriffen zu schützen.
