Ssylka

Как китайская хакерская группа MirrorFace усовершенствовала атаки на Японию и Тайвань?

В марте 2025 года компания Trend Micro обнаружила новую кибершпионскую кампанию, организованную хакерской группой MirrorFace (также известной как Earth Kasha). Эта группировка, считающаяся подразделением APT10 и связанная с Китаем, нацелилась на правительственные учреждения и общественные организации Японии и Тайваня, используя усовершенствованные вредоносные программы ROAMINGMOUSE и ANEL.
Как китайская хакерская группа MirrorFace усовершенствовала атаки на Японию и Тайвань?
Изображение носит иллюстративный характер

MirrorFace не впервые попадает в поле зрения специалистов по кибербезопасности. В августе 2024 года группа провела операцию AkaiRyū, атаковав дипломатическую организацию в Европейском Союзе с помощью вредоносного ПО ANEL (также известного как UPPERCUT). Эта операция была подробно задокументирована компанией ESET в марте 2025 года.

Новая кампания MirrorFace использует несколько компонентов вредоносного ПО. ROAMINGMOUSE, дроппер с макросами, применяемый группой с 2024 года, отвечает за доставку компонентов, связанных с ANEL. Сам ANEL является основным бэкдором, и его версия 2025 года получила новую возможность выполнять Beacon Object Files (BOFs) в памяти, что позволяет собирать скриншоты, списки процессов и информацию о домене без оставления следов на диске.

Третьим компонентом атаки является NOOPDOOR (также известный как HiddenFace) – вторичный бэкдор, поддерживающий DNS-over-HTTPS (DoH) для сокрытия коммуникаций с командным центром. Это значительно усложняет обнаружение вредоносной активности традиционными средствами сетевого мониторинга.

Цепочка атаки начинается с фишинговых писем, некоторые из которых отправляются с взломанных, но легитимных учетных записей. В письмах содержится URL-ссылка на Microsoft OneDrive, ведущая к загрузке ZIP-архива. Архив содержит зараженный документ Excel и дроппер ROAMINGMOUSE.

После активации ROAMINGMOUSE декодирует и развертывает легитимный бинарный файл (JSLNTOOL.exe, JSTIEE.exe или JSVWMNG.exe), библиотеку JSFC.dll (ANELLDR), зашифрованную полезную нагрузку ANEL и легитимную библиотеку MSVCR100.dll, необходимую для работы вредоносного ПО.

Процесс Explorer.exe запускает легитимный исполняемый файл, который через технику DLL sideloading загружает ANELLDR. Затем ANELLDR расшифровывает и запускает бэкдор ANEL. В некоторых случаях атакующие используют инструмент SharpHide для запуска NOOPDOOR, что обеспечивает дополнительный канал доступа к зараженной системе.

По словам исследователя безопасности Хара Хироаки из Trend Micro, особую обеспокоенность вызывает тот факт, что группа постоянно совершенствует свои инструменты и тактики. Обновленная версия ANEL с возможностью выполнения BOF-файлов в памяти значительно повышает скрытность операций MirrorFace и усложняет обнаружение атак.

Целенаправленные атаки на правительственные учреждения Японии и Тайваня указывают на стратегический интерес Китая к этим странам и подчеркивают важность постоянного мониторинга и обновления систем защиты от кибератак. Организациям в целевых странах рекомендуется повысить бдительность и внедрить многоуровневые системы защиты, способные обнаруживать и блокировать подобные сложные атаки.


Новое на сайте

15755Как хакеры используют уязвимости SonicWall SMA 100 для полного захвата устройств? 15754Воздушная охота на инвазивных баранов: Техас готовит новый закон 15753Почему рак у людей до 50 лет становится всё более распространённым явлением? 15752Почему упавшие на бок яйца реже трескаются: неожиданное открытие ученых? 15751Революция визуального ИИ: Copilot Vision в Microsoft Edge становится бесплатным для всех... 15750Как 109-летняя компания использует заботу о психическом здоровье для привлечения... 15748Оскароносный режиссер Пол хаггис освобожден от обвинений в сексуальном насилии в Италии 15747Омега-блок: атмосферное явление, влияющее на погоду в США 15746Как в Джерси спасают исчезающих тупиков с помощью нового морского заповедника? 157457 заблуждений о викингах, которые почти полностью не соответствуют действительности 15744Загадка UMa3/U1: на грани между самой маленькой галактикой и древнейшим звездным... 15743Как китайская хакерская группа MirrorFace усовершенствовала атаки на Японию и Тайвань? 15742Почему дыхание через нос может изменить вашу жизнь? 15741Между костями и днк: как археологи определяют пол древних людей