Οι κρατικοί hackers MirrorFace έχουν συνδεθεί με τη διάδοση του malware ROAMINGMOUSE και του backdoor ANEL, στο πλαίσιο μιας εκστρατείας ψηφιακής κατασκοπείας που στοχεύει κυβερνητικούς οργανισμούς και δημόσια ιδρύματα στην Ιαπωνία και την Ταϊβάν.
Η δραστηριότητα εντοπίστηκε από την Trend Micro τον Μάρτιο του 2025 και βασιζόταν σε στοχευμένες επιθέσεις spear-phishing, μέσα από τις οποίες γινόταν η εγκατάσταση μιας αναβαθμισμένης παραλλαγής του backdoor ANEL.
Σύμφωνα με τον αναλυτή κυβερνοασφάλειας Hara Hiroaki, η νέα έκδοση του ANEL ενσωματώνει μια εντολή που επιτρέπει την εκτέλεση Beacon Object Files (BOF) απευθείας στη μνήμη, ενισχύοντας τη δυσκολία ανίχνευσης. Επιπλέον, η εκστρατεία έκανε χρήση του εργαλείου SharpHide για την ενεργοποίηση ενός δεύτερου backdoor, με την ονομασία NOOPDOOR.
Δείτε επίσης: ClickFix: Οι hackers COLDRIVER διανέμουν το malware LOSTKEYS
Η εστίαση των Κινέζων hackers MirrorFace σε κυβερνητικούς και δημόσιους φορείς τόσο στην Ιαπωνία όσο και στην Ταϊβάν καταδεικνύει την επεκτεινόμενη δραστηριότητα της ομάδας, καθώς φαίνεται να επιδιώκει συστηματική συλλογή πληροφοριών που εξυπηρετούν γεωπολιτικούς στόχους.
Πώς ακριβώς λειτουργεί η επίθεση
Η επίθεση ξεκινά με την αποστολή στοχευμένων phishing emails, ορισμένα από τα οποία φαίνεται να προέρχονται από νόμιμους αλλά παραβιασμένους λογαριασμούς email. Τα μηνύματα αυτά περιέχουν ένα σύνδεσμο προς το Microsoft OneDrive, από όπου γίνεται λήψη ενός συμπιεσμένου αρχείου (ZIP).
Μέσα σε αυτό το αρχείο βρίσκεται ένα έγγραφο Excel, με κακόβουλο κώδικα, καθώς και ένα macro-enabled dropper, γνωστό ως ROAMINGMOUSE. Ο ρόλος του ROAMINGMOUSE είναι να ενεργοποιήσει τη φόρτωση επιπλέον κακόβουλων στοιχείων, συμπεριλαμβανομένων εκείνων που σχετίζονται με το backdoor ANEL — ένα εργαλείο που η MirrorFace έχει ήδη χρησιμοποιήσει από το προηγούμενο έτος.
Όπως εξηγεί ο ερευνητής Hiroaki, το ROAMINGMOUSE αποκωδικοποιεί το ενσωματωμένο αρχείο ZIP μέσω Base64, το αποθηκεύει τοπικά και αποσυμπιέζει τα περιεχόμενά του. Τα αρχεία που προκύπτουν περιλαμβάνουν:
- Ένα νόμιμο εκτελέσιμο αρχείο, όπως το
JSLNTOOL.exe,JSTIEE.exeήJSVWMNG.exe - Το JSFC.dll, γνωστό και ως ANELLDR, που λειτουργεί ως φορτωτής
- Ένα κρυπτογραφημένο ANEL payload
- Το MSVCR100.dll, ένα νόμιμο DLL dependency του εκτελέσιμου
Δείτε επίσης: CoGUI: Νέο phishing kit έχει στοχεύσει εκατομμύρια χρήστες
Ο τελικός στόχος της αλυσίδας επίθεσης είναι να ξεκινήσει το νόμιμο εκτελέσιμο αρχείο χρησιμοποιώντας το explorer.exe και, στη συνέχεια, να το χρησιμοποιήσει για να φορτώσει το κακόβουλο DLL, σε αυτήν την περίπτωση, το ANELLDR, το οποίο είναι υπεύθυνο για την αποκρυπτογράφηση και την εκκίνηση του backdoor ANEL.
Σύμφωνα με τους ερευνητές, το ανανεωμένο ANEL απέκτησε νέες δυνατότητες, συμπεριλαμβανομένης μιας εντολής που υποστηρίζει την εκτέλεση Beacon Object Files (BOFs) απευθείας στη μνήμη. Τα BOFs είναι μικροπρογράμματα σε C που έχουν σχεδιαστεί για να επεκτείνουν τον Cobalt Strike agent με νέα post-exploitation features.
“Μετά την εγκατάσταση του ANEL, οι επιτιθέμενοι έλαβαν στιγμιότυπα οθόνης χρησιμοποιώντας μια εντολή backdoor και εξέτασαν το περιβάλλον του θύματος“, εξήγησε η Trend Micro. “Ο αντίπαλος φαίνεται να ερευνά το θύμα κοιτάζοντας στιγμιότυπα οθόνης, εκτελώντας process lists και domain information“.
Ορισμένα από τα περιστατικά περιλάμβαναν και τη χρήση του SharpHide, ενός εργαλείου ανοιχτού κώδικα, το οποίο διευκόλυνε την εκτέλεση μιας βελτιωμένης εκδοχής του NOOPDOOR (επίσης γνωστό ως HiddenFace). Το συγκεκριμένο κακόβουλο πρόγραμμα διαθέτει υποστήριξη για DNS-over-HTTPS (DoH).
Προστασία από malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Δείτε επίσης: Νέα παράκαμψη EDR “Bring Your Own Installer” χρησιμοποιείται σε επιθέσεις ransomware
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι οι υπάλληλοι πρέπει να μάθουν να αναγνωρίζουν και να αποφεύγουν τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.
Επίσης, είναι σημαντικό να διατηρείται το λειτουργικό σύστημα και οι εφαρμογές ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή από τις πιο πρόσφατες απειλές.
Επίσης, μην ξεχνάμε τη χρήση firewalls και την παρακολούθηση του network traffic που θα βοηθήσει στον άμεσο εντοπισμό ύποπτης δραστηριότητας. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: thehackernews.com
