Пока вы настраивали сводные таблицы, MirrorFace собрал все данные и сделал скриншоты
NewsMakerНа экране был Excel, но самое главное происходило за его пределами.
В марте 2025 года специалисты компании Trend Micro зафиксировали новую волну кибер шпионажа , за которой стоит группировка MirrorFace — она же Earth Kasha, также известная как часть китайского кластера APT10. На этот раз вектором атаки стали государственные структуры и публичные учреждения Японии и Тайваня.
Злоумышленники использовали обновлённую версию вредоносной программы ANEL (она же UPPERCUT), которую распространяли через фишинговые письма с ссылками на легитимный OneDrive. Письмо содержало ZIP-архив с макросами и вредоносным документом Excel. Его задача — развернуть новую полезную нагрузку под кодовым названием ROAMINGMOUSE, которую MirrorFace применяет уже с прошлого года.
ROAMINGMOUSE, получив доступ к системе, декодирует встроенный архив, сохраняет его на диск, а затем извлекает и запускает компоненты. Среди них — легитимный исполняемый файл (JSLNTOOL.exe), подгружаемый DLL-файл ANELLDR и зашифрованный бэкдор ANEL. Запуск осуществляется через «explorer.exe», что позволяет обойти традиционные механизмы защиты, так как зловред маскируется под доверенное ПО. DLL-библиотека ANELLDR в данном случае расшифровывает и запускает сам ANEL.
В этой версии ANEL впервые появилась поддержка исполнения Beacon Object Files (BOF) — компилируемых C-модулей, расширяющих функциональность Cobalt Strike. Это свидетельствует о всё более продвинутом постэксплуатационном арсенале MirrorFace, нацеленном на шпионаж и захват системного контроля.
После установки ANEL атакующие инициировали команды, позволяющие делать скриншоты экрана, собирать список активных процессов и извлекать информацию о домене. Кроме того, в отдельных случаях использовался инструмент SharpHide — он запускал вторую фазу атаки с помощью нового бэкдора NOOPDOOR, известного также как HiddenFace. Этот компонент примечателен тем, что поддерживает DNS-запросы через HTTPS (DoH), что усложняет отслеживание управляющих серверов.
Цель кампании — не просто точечная слежка, а масштабный сбор информации, связанной с госуправлением, инфраструктурой и интеллектуальной собственностью. Стратегия MirrorFace продолжает расширяться за пределы привычных целей, выходя на новые географические и технические уровни.
Специалисты отмечают, что организациям с высоким уровнем риска следует быть особенно внимательными: речь идёт о данных, представляющих интерес для государств — будь то дипломатические архивы, корпоративные секреты или доступ к системам управления. Оборона против таких угроз требует не только базовых мер защиты, но и проактивных стратегий, включая мониторинг сетевого трафика, контроль доступа и регулярные проверки инфраструктуры.
В марте 2025 года специалисты компании Trend Micro зафиксировали новую волну кибер шпионажа , за которой стоит группировка MirrorFace — она же Earth Kasha, также известная как часть китайского кластера APT10. На этот раз вектором атаки стали государственные структуры и публичные учреждения Японии и Тайваня.
Злоумышленники использовали обновлённую версию вредоносной программы ANEL (она же UPPERCUT), которую распространяли через фишинговые письма с ссылками на легитимный OneDrive. Письмо содержало ZIP-архив с макросами и вредоносным документом Excel. Его задача — развернуть новую полезную нагрузку под кодовым названием ROAMINGMOUSE, которую MirrorFace применяет уже с прошлого года.
ROAMINGMOUSE, получив доступ к системе, декодирует встроенный архив, сохраняет его на диск, а затем извлекает и запускает компоненты. Среди них — легитимный исполняемый файл (JSLNTOOL.exe), подгружаемый DLL-файл ANELLDR и зашифрованный бэкдор ANEL. Запуск осуществляется через «explorer.exe», что позволяет обойти традиционные механизмы защиты, так как зловред маскируется под доверенное ПО. DLL-библиотека ANELLDR в данном случае расшифровывает и запускает сам ANEL.
В этой версии ANEL впервые появилась поддержка исполнения Beacon Object Files (BOF) — компилируемых C-модулей, расширяющих функциональность Cobalt Strike. Это свидетельствует о всё более продвинутом постэксплуатационном арсенале MirrorFace, нацеленном на шпионаж и захват системного контроля.
После установки ANEL атакующие инициировали команды, позволяющие делать скриншоты экрана, собирать список активных процессов и извлекать информацию о домене. Кроме того, в отдельных случаях использовался инструмент SharpHide — он запускал вторую фазу атаки с помощью нового бэкдора NOOPDOOR, известного также как HiddenFace. Этот компонент примечателен тем, что поддерживает DNS-запросы через HTTPS (DoH), что усложняет отслеживание управляющих серверов.
Цель кампании — не просто точечная слежка, а масштабный сбор информации, связанной с госуправлением, инфраструктурой и интеллектуальной собственностью. Стратегия MirrorFace продолжает расширяться за пределы привычных целей, выходя на новые географические и технические уровни.
Специалисты отмечают, что организациям с высоким уровнем риска следует быть особенно внимательными: речь идёт о данных, представляющих интерес для государств — будь то дипломатические архивы, корпоративные секреты или доступ к системам управления. Оборона против таких угроз требует не только базовых мер защиты, но и проактивных стратегий, включая мониторинг сетевого трафика, контроль доступа и регулярные проверки инфраструктуры.