【安全资讯】Earth Kasha网络间谍活动中ANEL后门重新激活

安恒恒脑 2024-11-28 19:05:31 178人浏览

概要:

2024年6月,Trend Micro发现了一项针对日本政治组织、研究机构和智库的新型鱼叉式网络钓鱼活动。此次行动归因于网络间谍组织Earth Kasha,标志着与APT10组织相关的ANEL后门工具的复苏,该工具自2018年以来处于休眠状态。此活动还使用了NOOPDOOR,一个针对高价值目标的模块化后门,突显了Earth Kasha的适应性战术和不断演变的能力。

主要内容:

此次网络钓鱼活动的主要入侵途径是精心制作的鱼叉式钓鱼邮件。这些邮件通常来自被攻陷或免费的电子邮件账户,包含指向恶意OneDrive托管的ZIP文件的链接。诱饵的主题用日语撰写,内容吸引人,例如:“关于当前美中关系的日本经济安全面试请求表”。下载后,受害者会遇到多种感染方式,包括启用宏的文档、快捷方式文件和基于PowerShell的有效载荷。

启用宏的文档引入了一种名为ROAMINGMOUSE的恶意软件投放器,该投放器提取并执行与ANEL相关的组件,同时通过沙箱感知技术逃避检测。ANEL作为一个32位HTTP后门,重新出现了多个版本,如“5.5.4 rev1”和“5.5.6 rev1”,显示出自2018年以来的改进。其中“5.5.6 rev1”版本的一项更新包括利用UAC绕过技术执行程序的新后门命令。

报告强调了ANEL对规避技术的依赖,例如:自定义Base64和HEX编码的有效载荷、使用合法应用程序进行动态DLL侧载、控制流扁平化和垃圾代码插入以防止分析。事件发生后,ANEL促进了信息收集,包括截屏、检索网络详情和执行系统命令。对于高价值目标,Earth Kasha部署了具有高级功能的模块化后门NOOPDOOR,进一步巩固了该活动的间谍动机。
APT 恶意代码 政府部门 科技公司
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。