Кибершпионаж: Новые тактики APT Earth Kasha в 2025 году
Источник: www.trendmicro.com
В марте 2025 года группа APT Earth Kasha, тесно связанная с более крупным сообществом APT10, инициировала целенаправленную кибератаку против правительственных учреждений Тайваня и Японии. Используя методы скрытого фишинга, главной целью этой кампании, по всей видимости, является шпионаж, приведущий к компрометации конфиденциальной информации, связанной с управлением.
Развитие методов атаки
С момента своего появления в 2017 году группа Earth Kasha постоянно совершенствовала свои тактики и инструменты. Ранее они в основном нацеливались на:
- Политические организации;
- Исследовательские институты;
- Организации в области международных отношений.
В текущей кампании используется новая версия бэкдора ANEL и программа-перехватчик ROAMINGMOUSE, которая внедряет вирус через файл Excel с поддержкой макросов. Важно отметить, что ранее в 2024 году при атаках использовался файл Word.
Механизм атаки
Фишинговые электронные письма, исходящие от взломанных законных учетных записей, содержат ссылки на OneDrive, которые ведут к ZIP-файлам с вредоносными документами Excel. Файлы создаются с учетом интересов целевой аудитории, что повышает шансы на успешное заражение.
Фаза заражения включает в себя следующие шаги:
- Запуск программы ROAMINGMOUSE dropper, использующей простые методы обхода «песочницы» с необходимостью взаимодействия пользователя.
- Расшифровка ZIP-файла, содержащего компоненты:
- JSLNTOOL.exe,
- JSTIEE.exe,
- Загрузчик JSFC.dll, также известный как ANELLDR.
Адаптивное поведение бэкдора
Примечательно, что если дроппер обнаруживает программное обеспечение McAfee security на хосте, он изменяет свое поведение, создавая пакетный файл в папке автозагрузки, чтобы избежать обнаружения.
Бэкдор ANEL на всех этапах кампании сохраняет свои протоколы командования и контроля (C&C), в то же время интегрируя новые возможности. В версии ANEL 2025 года была добавлена команда для выполнения объектных файлов Beacon (BOF) в памяти.
Усовершенствованный бэкдор NOOPDOOR
Также в рамках данной кампании был улучшен второй этап – бэкдор NOOPDOOR, который используется как минимум с 2021 года. Теперь он поддерживает DNS по протоколу HTTPS (DoH), что позволяет ему скрывать свои IP-адреса во время C&C-коммуникаций.
NOOPDOOR использует алгоритм генерации доменов (DGA) для динамического создания доменов C&C, дополнительно маскируя свою деятельность через DoH, используя общедоступные серверы, такие как Google и Cloudflare, для поиска DNS.
Важность адаптации кибербезопасности
По мере того как Earth Kasha продолжает свою кибердеятельность, меняющаяся тактика группы подчеркивает необходимость принятия организациями надежных мер безопасности. Это включает в себя:
- Выявление различий в типах файлов для фишинговых атак;
- Мониторинг аномалий в использовании DNS по протоколу HTTPS.
Подобные меры необходимы для предотвращения потенциальных вторжений и защиты конфиденциальной информации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
