Oprogramowanie złośliwe ROAMINGMOUSE: intruz w cyfrowych korytarzach Azji
Table of Contents
Nowy rodzaj narzędzia cybernetycznego szpiegostwa
Nowe złośliwe oprogramowanie, znane jako ROAMINGMOUSE, niedawno pojawiło się w świecie cybernetycznego szpiegostwa. Cicho osadza się w systemach i zbiera informacje wywiadowcze bez natychmiastowego wykrycia. W przeciwieństwie do sensacyjnego oprogramowania ransomware lub zakłócających cyberataków, które trafiają na pierwsze strony gazet na całym świecie, ROAMINGMOUSE reprezentuje bardziej subtelną i wyrachowaną formę włamania — taką, która podkreśla rosnącą wyrafinowanie wspieranych przez państwo cyberkampanii.
Aktorzy stojący za złośliwym oprogramowaniem
ROAMINGMOUSE nie jest samodzielnym zagrożeniem, ale częścią szerszej operacji szpiegowskiej, o której uważa się, że jest zorganizowana przez aktora zagrożeń znanego jako MirrorFace . Ta grupa, również śledzona pod pseudonimem Earth Kasha, jest powiązana z większą i dobrze udokumentowaną chińską jednostką szpiegowską APT10. Ich najnowsza kampania jest skierowana przede wszystkim do instytucji rządowych i publicznych w Japonii i Tajwanie — dwóch regionach o rosnącym znaczeniu geopolitycznym.
Oszukańczy początek: konfiguracja phishingu
Podstawą tej operacji jest łańcuch ataków, który zaczyna się od spear-phishingu — techniki polegającej na użyciu mylących wiadomości e-mail, aby oszukać odbiorców i nakłonić ich do otwarcia złośliwej zawartości. W tym przypadku wiadomości e-mail są sprytnie maskowane, często pochodzą z wcześniej naruszonych, ale legalnych kont. W wiadomościach e-mail osadzony jest adres URL usługi Microsoft OneDrive, który pobiera plik ZIP zawierający zamaskowany dokument programu Excel. Po otwarciu tego dokumentu uruchamia się ROAMINGMOUSE, program do pobierania złośliwego oprogramowania z włączonymi makrami, który inicjuje kolejne kroki operacji.
ROAMINGMOUSE w akcji
ROAMINGMOUSE działa jako facylitator. Dekoduje osadzony, zakodowany plik ZIP i wyodrębnia serię plików na dysk ofiary. Wśród nich znajdują się legalne pliki binarne systemu Windows i biblioteki DLL (Dynamic-Link Library), ale także ukryty ładunek: tylne drzwi ANEL, powtarzające się narzędzie w zestawie narzędzi szpiegowskich Earth Kasha. Poprzez nadużywanie techniki znanej jako boczne ładowanie plików DLL, złośliwe oprogramowanie oszukuje legalne programy, aby wykonały jego złośliwy kod, omijając w ten sposób podstawowe wykrywanie zabezpieczeń.
Ulepszone możliwości ANEL
Co jest szczególnie godne uwagi w obecnej wersji ANEL, to jej rozszerzone możliwości. Najnowsza wersja może teraz wykonywać pliki Beacon Object Files (BOF) bezpośrednio w pamięci systemowej. BOF to specjalistyczne programy zaprojektowane w celu rozszerzenia Cobalt Strike, legalnego narzędzia często wykorzystywanego przez atakujących do działań poeksploatacyjnych. Pozwala to atakującemu na dokładniejsze zbadanie zainfekowanych systemów — przechwytywanie zrzutów ekranu, katalogowanie uruchomionych procesów i badanie struktur domen sieciowych.
Wielowarstwowa kampania złośliwego oprogramowania
Co więcej, ta kampania nie dotyczy tylko jednego złośliwego oprogramowania. ROAMINGMOUSE jest używany do torowania drogi innym narzędziom, w tym NOOPDOOR (znanemu również jako HiddenFace), kolejnemu wyrafinowanemu backdoorowi, który używa DNS-over-HTTPS (DoH). Ta technika szyfruje ruch sieciowy, co utrudnia narzędziom bezpieczeństwa sieci wykrywanie i blokowanie komunikacji złośliwego oprogramowania z serwerami poleceń i kontroli.
Konsekwencje dla celów o wysokiej wartości
Konsekwencje tej kampanii są znaczące, choć niekoniecznie alarmujące, dla ogółu społeczeństwa. Ujawnia ona trwającą zmianę taktyki cyberkonfliktów — od ataków zakłócających do cichego, ukierunkowanego szpiegostwa. Głównymi celami są podmioty rządowe i organizacje infrastruktury krytycznej, zwłaszcza te, które posiadają poufne informacje związane z bezpieczeństwem narodowym, planami infrastrukturalnymi i własnością intelektualną.
Reagowanie na zagrożenia
Poprzez głębokie osadzanie się w systemach instytucjonalnych, aktorzy zagrożeń, tacy jak Earth Kasha, starają się pozostać niewykryci tak długo, jak to możliwe, wysysając dane, które mogą informować o decyzjach strategicznych, politycznych lub ekonomicznych. Chociaż nie zgłoszono żadnego pojedynczego naruszenia, które spowodowałoby jawne szkody, skumulowany efekt takiego długoterminowego nadzoru może wpłynąć na stabilność regionalną, negocjacje handlowe lub rozwój polityki.
Apel o czujność i odporność
Organizacjom stawiającym czoła temu poziomowi zagrożenia zaleca się wzmocnienie postawy cyberbezpieczeństwa. Obejmuje to przyjęcie zasad zerowego zaufania, korzystanie z zaawansowanych narzędzi do wykrywania zagrożeń, monitorowanie wewnętrznej aktywności pod kątem anomalii i zapewnianie ciągłego szkolenia, aby pomóc pracownikom rozpoznawać próby phishingu. W tym kontekście cyberbezpieczeństwo staje się mniej kwestią samej prewencji, a bardziej wczesnego wykrywania i odpornej reakcji.
Podsumowanie
ROAMINGMOUSE nie jest ostrzeżeniem przed nieuchronnym niebezpieczeństwem dla codziennych użytkowników, ale służy jako przypomnienie o ewoluującej naturze zagrożeń cyfrowych. Wraz ze wzrostem ukierunkowania i zaawansowania technicznego cyberoperacji, tak samo muszą postępować środki obronne chroniące krytyczne systemy. Cicha i niepozorna, ta nowa kampania malware pokazuje, że w nowoczesnej erze szpiegostwa najniebezpieczniejsze zagrożenia mogą być tymi, które w ogóle się nie zapowiadają.
