釣魚信 + OneDrive + DoH!Earth Kasha 對台日展開高隱匿間諜行動
- Hao Chen Lu
- 2025年5月26日
- 讀畢需時 4 分鐘
Source: TWCERT/CC台灣電腦網路危機處理暨協調中心
top of page
搜尋
趨勢科技揭露APT組織Earth Kasha(歸類為APT10的子群)於2025年3月針對台灣與日本政府機關及公營機構發起一波網路攻擊活動,經調查研判,其主要目的為竊取機敏資料並進行間諜活動。 此次攻擊利用釣魚郵件散播新版的ANEL後門程式,攻擊行動展現該組織攻擊手法與行為的技術不斷提升。 攻擊過程中,Earth Kasha利用已成功取得權限的帳號,向特定目標寄送含有OneDrive連結的釣魚郵件,此連結指向包含惡意Excel文件的壓縮檔,文件名稱及內容設計具吸引力,如《修正済み履歴書》、《臺日道路交通合作與調研相關公務出國報告》、《應徵研究助理》等,誘使受害者點擊並啟用巨集功能。 根據趨勢科技的分析,這些惡意Excel文件實際是具備dropper功能的惡意程式,並將其手法命名為ROAMINGMOUSE。 不同於2024年曾利用Word文件並透過滑鼠移動觸發攻擊的手法,ROAMINGMOUSE以Excel文件作為載體,且需使用者主動點擊滑鼠後,才啟動後續的惡意載入程序。 此外,ROAMINGMOUSE透過Windows管理工具(WMI)將合法的執行檔以參數形式注入explorer.exe,藉此繞過傳統防毒與行為監控機制。 隨後透過利用DLL劫持(DLL Hijacking)技術載入惡意DLL(ANELLDR),最終植入並啟用ANEL後門程式。 圖1展示了本次攻擊的完整流程。 此次攻擊使用的主要惡意檔案包含: 正常的可執行檔(JSLNTOOL.exe、JSTIEE.exe、JSVWMNG.exe,作為啟動器) 惡意DLL載入器(JSFC.dll,命名為 ANELLDR) 隨機命名的加密後門程式,ANEL Payload 合法的支援的DLL載入器(MSVCR100.dll) 圖1:2025年3月Earth Kasha的攻擊流程。 圖片來源:趨勢科技 在此次攻擊的ANEL中,發現攻擊者開始對版本號進行加密,試圖掩蓋惡意程式的演化。 另外,ANEL在某些案例中會進一步下載並安裝另一個後門程式NOOPDOOR,其最新版本開始支援DoH(DNS over HTTPS)技術,DoH是一種可將DNS查詢封裝在HTTPS通訊中,藉此繞過傳統DNS偵測機制,讓惡意中繼站通訊更難被攔截與追蹤,大幅提升後門隱匿能力。 針對此次Earth Kasha的進階APT攻擊,趨勢科技提出以下防禦建議: 1. 提高警覺性:使用者應對來路不明且含有雲端連結或附件的電子郵件保持高度警戒,避免輕易點擊或下載。 2. 停用巨集功能:建議企業與用戶停用網路下載文件中的Microsoft Office巨集自動執行功能,以防止惡意程式藉由文件植入。 3. 加強DNS監控:資安團隊應持續監控DNS活動,特別留意透過HTTPS的異常DNS請求,以防範利用DoH的惡意通訊。 以下為趨勢科技提供此次攻擊行為的IoC: Domains: srmbr[.]net kyolpon[.]com IPs: 172[.]233[.]73[.]249 172[.]105[.]62[.]188 192[.]46[.]215[.]56 139[.]162[.]38[.]102 HASH(SHA 256): 詳細請參考以下網址:https://documents.trendmicro.com/images/TEx/Earth-Kasha-Blog-IoCshFxTmpo.txt
趨勢科技揭露APT組織Earth Kasha(歸類為APT10的子群)於2025年3月針對台灣與日本政府機關及公營機構發起一波網路攻擊活動,經調查研判,其主要目的為竊取機敏資料並進行間諜活動。 此次攻擊利用釣魚郵件散播新版的ANEL後門程式,攻擊行動展現該組織攻擊手法與行為的技術不斷提升。 攻擊過程中,Earth Kasha利用已成功取得權限的帳號,向特定目標寄送含有OneDrive連結的釣魚郵件,此連結指向包含惡意Excel文件的壓縮檔,文件名稱及內容設計具吸引力,如《修正済み履歴書》、《臺日道路交通合作與調研相關公務出國報告》、《應徵研究助理》等,誘使受害者點擊並啟用巨集功能。 根據趨勢科技的分析,這些惡意Excel文件實際是具備dropper功能的惡意程式,並將其手法命名為ROAMINGMOUSE。 不同於2024年曾利用Word文件並透過滑鼠移動觸發攻擊的手法,ROAMINGMOUSE以Excel文件作為載體,且需使用者主動點擊滑鼠後,才啟動後續的惡意載入程序。 此外,ROAMINGMOUSE透過Windows管理工具(WMI)將合法的執行檔以參數形式注入explorer.exe,藉此繞過傳統防毒與行為監控機制。 隨後透過利用DLL劫持(DLL Hijacking)技術載入惡意DLL(ANELLDR),最終植入並啟用ANEL後門程式。 圖1展示了本次攻擊的完整流程。 此次攻擊使用的主要惡意檔案包含: 正常的可執行檔(JSLNTOOL.exe、JSTIEE.exe、JSVWMNG.exe,作為啟動器) 惡意DLL載入器(JSFC.dll,命名為 ANELLDR) 隨機命名的加密後門程式,ANEL Payload 合法的支援的DLL載入器(MSVCR100.dll) 圖1:2025年3月Earth Kasha的攻擊流程。 圖片來源:趨勢科技 在此次攻擊的ANEL中,發現攻擊者開始對版本號進行加密,試圖掩蓋惡意程式的演化。 另外,ANEL在某些案例中會進一步下載並安裝另一個後門程式NOOPDOOR,其最新版本開始支援DoH(DNS over HTTPS)技術,DoH是一種可將DNS查詢封裝在HTTPS通訊中,藉此繞過傳統DNS偵測機制,讓惡意中繼站通訊更難被攔截與追蹤,大幅提升後門隱匿能力。 針對此次Earth Kasha的進階APT攻擊,趨勢科技提出以下防禦建議: 1. 提高警覺性:使用者應對來路不明且含有雲端連結或附件的電子郵件保持高度警戒,避免輕易點擊或下載。 2. 停用巨集功能:建議企業與用戶停用網路下載文件中的Microsoft Office巨集自動執行功能,以防止惡意程式藉由文件植入。 3. 加強DNS監控:資安團隊應持續監控DNS活動,特別留意透過HTTPS的異常DNS請求,以防範利用DoH的惡意通訊。 以下為趨勢科技提供此次攻擊行為的IoC: Domains: srmbr[.]net kyolpon[.]com IPs: 172[.]233[.]73[.]249 172[.]105[.]62[.]188 192[.]46[.]215[.]56 139[.]162[.]38[.]102 HASH(SHA 256): 詳細請參考以下網址:https://documents.trendmicro.com/images/TEx/Earth-Kasha-Blog-IoCshFxTmpo.txt See more: https://www.twcert.org.tw/tw/cp-104-10136-2b0f8-1.html
最新文章
查看全部Source: IThome新聞 資安業者Wiz研究團隊揭露名為CodeBreach的供應鏈風險,指出AWS管理的4個開源GitHub儲存庫,因專案層級的自動化建置觸發條件設定疏漏,存在外部人士可觸發建置並進一步取得儲存庫管理權限的可能性。 AWS表示接獲通報後已完成修補並輪替相關憑證,檢視建置紀錄與CloudTrail稽核紀錄後未發現遭濫用,且不影響客戶環境與AWS服務,AWS也強調這是各專案設
Source: IThome新聞 IBM發表新軟體基礎IBM Sovereign Core,主打雲端主權與AI工作負載支援的平臺軟體,目的是讓企業、政府與服務供應商能在既有基礎架構與平臺投資上,加速建置並營運符合主權要求的AI環境。 IBM規畫在2026年2月開始提供技術預覽版,並在2026年年中正式上線。 See more: https://www.ithome.com.tw/news/173
Source: IThome新聞 重點新聞(0109~0115) See more: https://www.ithome.com.tw/news/173420
bottom of page
留言