กลุ่มภัยคุกคาม MirrorFace ถูกพบว่ามีการใช้งานมัลแวร์ที่เรียกว่า ROAMINGMOUSE ในการดำเนินการจารกรรมทางไซเบอร์ที่มุ่งเป้าไปยังหน่วยงานรัฐบาล และสถาบันสาธารณะในประเทศญี่ปุ่น และไต้หวัน
กิจกรรมดังกล่าวถูกตรวจพบโดย Trend Micro เมื่อเดือนมีนาคม 2025 โดยใช้เทคนิค spear-phishing เพื่อล่อลวงเป้าหมายให้เปิดลิงก์ และดาวน์โหลดแบ็คดอร์เวอร์ชันอัปเดตที่ชื่อว่า ANEL
นักวิจัยด้านความปลอดภัย Hara Hiroaki ระบุว่า “ไฟล์ ANEL จากแคมเปญปี 2025 ที่ถูกระบุถึงในบล็อกนี้ มีการเพิ่มคำสั่งใหม่เพื่อสนับสนุนการดำเนินการ BOF (Beacon Object File) ในหน่วยความจำ”
“แคมเปญนี้ยังอาจมีการใช้ SharpHide เพื่อเปิดใช้งานแบ็คดอร์ขั้นที่สองชื่อ NOOPDOOR ด้วย”
กลุ่มภัยคุกคามจากจีน ซึ่งเป็นที่รู้จักกันในชื่อ Earth Kasha ได้รับการประเมินว่าเป็นกลุ่มย่อยใน APT10 ในเดือนมีนาคม 2025 ESET ได้เปิดเผยเกี่ยวกับแคมเปญที่ชื่อว่า Operation AkaiRyū ซึ่งโจมตีองค์กรการทูตในสหภาพยุโรปเมื่อเดือนสิงหาคม 2024 ด้วย ANEL (หรือที่เรียกว่า UPPERCUT)
การมุ่งเป้าโจมตีองค์กรต่าง ๆ ในญี่ปุ่น และไต้หวัน แสดงให้เห็นว่ากลุ่มนี้กำลังขยายขอบเขตการปฏิบัติการอย่างต่อเนื่อง โดยมีเป้าหมายเพื่อขโมยข้อมูลเพื่อผลประโยชน์เชิงกลยุทธ์
การโจมตีเริ่มต้นจากอีเมล spear-phishing ซึ่งบางฉบับถูกส่งจากบัญชีที่ถูกเจาะระบบแล้ว ซึ่งมี URL ของ Microsoft OneDrive ที่ฝังอยู่ ซึ่งจะดาวน์โหลดไฟล์ ZIP มา
ไฟล์ ZIP archive ประกอบด้วยเอกสาร Excel ที่มีมัลแวร์ และ dropper ที่เปิดใช้งานแมโครที่มีชื่อรหัสว่า ROAMINGMOUSE ซึ่งทำหน้าที่เป็นช่องทางในการเรียกใช้งานส่วนประกอบที่เกี่ยวข้องกับ ANEL โดยที่ ROAMINGMOUSE ถูกนำมาใช้โดย MirrorFace มาตั้งแต่ปีที่แล้ว
Hiroaki อธิบายว่า “ROAMINGMOUSE จะถอดรหัสไฟล์ ZIP ที่ฝังอยู่โดยใช้ Base64, สร้างไฟล์ ZIP บนดิสก์ และขยายไฟล์ภายใน” ซึ่งประกอบด้วย:
- JSLNTOOL.exe, JSTIEE.exe, หรือ JSVWMNG.exe (ไฟล์ไบนารีที่ถูกต้อง)
- JSFC.dll (ANELLDR)
- ไฟล์ ANEL ที่เข้ารหัสไว้
- MSVCR100.dll (ไฟล์ DLL ที่ถูกต้องซึ่งจำเป็นต้องพึ่งพาไฟล์ executable)
เป้าหมายสุดท้ายของการโจมตีคือ การเรียกใช้ไฟล์ executable ที่ถูกต้องโดยใช้ explorer.exe จากนั้นจึงใช้เพื่อโหลด DLL ที่เป็นอันตราย ซึ่งในกรณีนี้คือ ANELLDR ซึ่งจะทำหน้าที่ถอดรหัส และเรียกใช้งานแบ็คดอร์ ANEL
ความโดดเด่นของ ANEL ที่ใช้ในปี 2025 คือการเพิ่มคำสั่งใหม่ที่ช่วยให้สามารถรัน Beacon Object Files (BOFs) ในหน่วยความจำได้โดยตรง ซึ่งเป็นโปรแกรม C ที่ถูกคอมไพล์ และออกแบบมาเพื่อขยายความสามารถของ Cobalt Strike agent ในขั้นตอน post-exploitation
Trend Micro อธิบายเพิ่มเติมว่า “หลังจากติดตั้งไฟล์ ANEL แล้ว กลุ่ม Earth Kasha จะใช้คำสั่งผ่านแบ็คดอร์ในการถ่ายภาพหน้าจอ, ตรวจสอบสภาพแวดล้อมของเหยื่อ, ดูรายการ process ที่กำลังรัน และข้อมูลโดเมน”
ในบางกรณียังพบว่ากลุ่มนี้ใช้เครื่องมือ SharpHide ซึ่งเป็นโอเพนซอร์ส เพื่อเปิดใช้งานแบ็คดอร์รุ่นใหม่ที่ชื่อว่า NOOPDOOR (หรือที่เรียกว่า HiddenFace) ซึ่งเป็นแบ็คดอร์อีกตัวที่เคยถูกกลุ่มแฮ็กเกอร์ระบุว่าเคยใช้มาก่อน ซึ่งรองรับฟีเจอร์ DNS-over-HTTPS (DoH) เพื่อซ่อนการค้นหา IP ระหว่างการดำเนินการสั่งการ และควบคุม (C2)
Hiroaki ระบุว่า “Earth Kasha ยังคงเป็นภัยคุกคามขั้นสูงที่ยังคงดำเนินกิจกรรมอย่างต่อเนื่อง โดยปัจจุบันได้มุ่งเป้าโจมตีไปยังหน่วยงานรัฐบาล และสถาบันสาธารณะในไต้หวัน และญี่ปุ่นในแคมเปญล่าสุดเมื่อเดือนมีนาคม 2025”
“บริษัท หรือองค์กรที่ถือครองทรัพย์สินมูลค่าสูง เช่น ข้อมูลที่มีความสำคัญที่เกี่ยวข้องกับการกำกับดูแล, ทรัพย์สินทางปัญญา, ข้อมูลโครงสร้างพื้นฐาน และข้อมูลสิทธิ์การเข้าถึง ควรยังคงเฝ้าระวัง และวางมาตรการด้านความปลอดภัยเชิงรุก เพื่อป้องกันไม่ให้ตกเป็นเหยื่อของการโจมตีทางไซเบอร์”
ที่มา : thehackernews
You must be logged in to post a comment.