مجموعة MirrorFace تستهدف اليابان وتايوان ببرمجيات ROAMINGMOUSE و ANEL المُطوّرة

كشفت شركة Trend Micro عن حملة تجسس إلكتروني جديدة تنفذها مجموعة MirrorFace (المعروفة أيضًا باسم Earth Kasha) باستخدام برمجيات خبيثة متطورة تستهدف وكالات حكومية ومؤسسات عامة في اليابان وتايوان.

تفاصيل الهجوم:

• الطريقة: تصيد مستهدف (Spear-Phishing) عبر رسائل بريدية تحتوي على روابط OneDrive ضارة.

• البرمجيات المستخدمة:

  • ROAMINGMOUSE: برمجية لإسقاط الحمولات الخبيثة.

  • ANEL المُطوّرة: برمجية خلفية (Backdoor) تمت ترقيتها لدعم تنفيذ أوامر متقدمة في الذاكرة.

  • NOOPDOOR: برمجية خلفية أخرى تستخدم تقنية DNS-over-HTTPS (DoH) لإخفاء اتصالاتها.

تطور برمجية ANEL:

أشار الباحث هارا هيرواكي من Trend Micro إلى أن النسخة الجديدة من ANEL شهدت تحسينات خطيرة، منها:

• دعم تنفيذ ملفات Beacon Object (BOF) مباشرة في الذاكرة لتعزيز قدرات الاختراق.

• استخدام أداة SharpHide مفتوحة المصدر لإخفاء البرمجيات الخبيثة.

كيف يعمل الهجوم؟

1. المرحلة الأولى:

   • يستلم الضحية رسالة تصيد تحتوي على رابط OneDrive يؤدي إلى تحميل ملف ZIP.

   • داخل الملف المضغوط يوجد مستند Excel خبيث مع ماكرو يُنشط برمجية ROAMINGMOUSE.

2. المرحلة الثانية:

   • تقوم ROAMINGMOUSE بفك تشفير ملف ZIP مدمج (مشفر بـ Base64) ثم تُنزِل مكونات هجومية، منها:

     • ملفات تنفيذية شرعية لاستغلالها في تنفيذ هجمات DLL Side-Loading.

     • مكتبة JSFC.dll المسؤولة عن تحميل برمجية ANEL.

3. المرحلة النهائية:

   • يتم تشغيل ANEL التي تسمح للمهاجمين بـ:

     • سرقة لقطات الشاشة.

     • جمع معلومات النظام والعمليات الجارية.

     • تنفيذ أوامر خبيثة عن بُعد.

لماذا هذه الهجمات خطيرة؟

• الهدف الاستراتيجي: تُعتبر MirrorFace مجموعة متقدمة (APT) مرتبطة بتهديدات مدعومة من دول، وتهدف إلى سرقة بيانات حساسة لدوافع سياسية أو استخباراتية.

• التطور المستمر: تُظهر المجموعة قدرة على تطوير أدواتها، كما في دعمها لـ BOF واعتمادها على تقنيات التخفي مثل DoH.

نصائح أمنية:

• الحذر من رسائل البريد غير المعروفة، خاصة تلك التي تحتوي على روابط أو مرفقات.

• تعطيل وحدات الماكرو في ملفات Office إلا عند الضرورة.

• تحديث أنظمة الحماية باستمرار لاكتشاف البرمجيات الخبيثة الحديثة.