Aktor ancaman terkait Tiongkok yang dikenal sebagai MirrorFace telah dikaitkan dengan kampanye spear-phishing baru yang terutama menargetkan individu dan organisasi di Jepang sejak Juni 2024.
Tujuan dari kampanye ini adalah untuk menghadirkan pintu belakang yang dikenal sebagai NOOPDOOR (alias HiddenFace) dan ANEL (alias UPPERCUT), kata Trend Micro dalam analisis teknis.
“Aspek yang menarik dari kampanye ini adalah kembalinya pintu belakang yang dijuluki ANEL, yang digunakan dalam kampanye yang menargetkan Jepang oleh APT10 hingga sekitar tahun 2018 dan tidak lagi diamati sejak saat itu,” kata peneliti keamanan Hara Hiroaki.
Perlu dicatat bahwa penggunaan ANEL oleh MirrorFace juga didokumentasikan oleh ESET bulan lalu sebagai bagian dari serangan dunia maya yang menargetkan organisasi diplomatik di Uni Eropa menggunakan umpan terkait World Expo.
MirrorFace, juga dikenal sebagai Earth Kasha, adalah nama yang diberikan kepada aktor ancaman Tiongkok yang dikenal karena terus-menerus menargetkan entitas Jepang. Ini dinilai sebagai sub-cluster dalam APT10.
Kampanye terbaru ini merupakan penyimpangan dari intrusi kelompok peretas yang diamati pada tahun 2023, yang terutama berupaya mengeksploitasi kelemahan keamanan pada perangkat edge dari Array Networks dan Fortinet untuk akses awal.
Peralihan ke pesan email spear-phishing adalah disengaja, menurut Trend Micro, dan keputusan ini dimotivasi oleh fakta bahwa serangan tersebut dirancang untuk menargetkan individu, bukan perusahaan.
“Selain itu, analisis terhadap profil korban dan nama-nama file umpan yang didistribusikan menunjukkan bahwa musuh sangat tertarik pada topik yang berkaitan dengan keamanan nasional dan hubungan internasional Jepang,” kata Hiroaki.
Surat digital, yang dikirim dari akun email gratis atau akun yang disusupi, berisi tautan ke Microsoft OneDrive. Mereka bertujuan untuk memikat penerima agar mengunduh arsip ZIP jebakan dengan menggunakan tema yang berkaitan dengan permintaan wawancara dan keamanan ekonomi Jepang dari perspektif hubungan AS-Tiongkok saat ini.
Trend Micro mengatakan isi arsip ZIP bervariasi tergantung pada target, dan menambahkan bahwa mereka menemukan tiga vektor infeksi berbeda yang telah digunakan untuk mengirimkan dropper berbahaya yang dijuluki ROAMINGMOUSE –
- Dokumen Word yang mendukung makro
- File pintasan Windows yang menjalankan arsip self-extracting (SFX), yang kemudian memuat dokumen templat yang mendukung makro
- File pintasan Windows yang menjalankan PowerShell yang bertanggung jawab untuk menghapus arsip kabinet tertanam, yang kemudian memuat dokumen templat yang mendukung makro
Dokumen berkemampuan makro, ROAMINGMOUSE, bertindak sebagai penetes untuk komponen yang terkait dengan ANEL dan pada akhirnya meluncurkan pintu belakang, sekaligus menggabungkan teknik penghindaran yang menyembunyikannya dari program keamanan dan membuat deteksi menjadi sulit.
Salah satu modul yang diterapkan melalui dropper adalah ANELLDR, sebuah loader yang dirancang untuk mengeksekusi ANEL di memori. Ini diluncurkan menggunakan metode yang dikenal yang disebut pemuatan samping DLL, setelah itu mendekripsi dan menjalankan pintu belakang tahap akhir.
Implan berbasis HTTP 32-bit, ANEL secara aktif dikembangkan antara tahun 2017 dan 2018 sebagai cara untuk menangkap tangkapan layar, mengunggah/mengunduh file, memuat file yang dapat dieksekusi, dan menjalankan perintah melalui cmd.exe. Kampanye 2024 menggunakan versi terbaru yang memperkenalkan perintah baru untuk menjalankan program tertentu dengan hak istimewa yang lebih tinggi.
Selain itu, rantai serangan memanfaatkan pintu belakang untuk mengumpulkan informasi dari lingkungan yang terinfeksi dan secara selektif menyebarkan NOOPDOOR terhadap target yang memiliki kepentingan khusus.
“Banyak dari targetnya adalah individu, seperti peneliti, yang mungkin memiliki tingkat keamanan yang berbeda dibandingkan dengan organisasi perusahaan, sehingga serangan ini lebih sulit dideteksi,” kata Hiroaki. “Penting untuk melakukan tindakan pencegahan dasar, seperti menghindari membuka file yang dilampirkan pada email yang mencurigakan.”
