釣魚信 + OneDrive + DoH!Earth Kasha 對台日展開高隱匿間諜行動
- Hao Chen Lu
- 5月26日
- 讀畢需時 4 分鐘
Source: TWCERT/CC台灣電腦網路危機處理暨協調中心
top of page
搜尋
趨勢科技揭露APT組織Earth Kasha(歸類為APT10的子群)於2025年3月針對台灣與日本政府機關及公營機構發起一波網路攻擊活動,經調查研判,其主要目的為竊取機敏資料並進行間諜活動。 此次攻擊利用釣魚郵件散播新版的ANEL後門程式,攻擊行動展現該組織攻擊手法與行為的技術不斷提升。 攻擊過程中,Earth Kasha利用已成功取得權限的帳號,向特定目標寄送含有OneDrive連結的釣魚郵件,此連結指向包含惡意Excel文件的壓縮檔,文件名稱及內容設計具吸引力,如《修正済み履歴書》、《臺日道路交通合作與調研相關公務出國報告》、《應徵研究助理》等,誘使受害者點擊並啟用巨集功能。 根據趨勢科技的分析,這些惡意Excel文件實際是具備dropper功能的惡意程式,並將其手法命名為ROAMINGMOUSE。 不同於2024年曾利用Word文件並透過滑鼠移動觸發攻擊的手法,ROAMINGMOUSE以Excel文件作為載體,且需使用者主動點擊滑鼠後,才啟動後續的惡意載入程序。 此外,ROAMINGMOUSE透過Windows管理工具(WMI)將合法的執行檔以參數形式注入explorer.exe,藉此繞過傳統防毒與行為監控機制。 隨後透過利用DLL劫持(DLL Hijacking)技術載入惡意DLL(ANELLDR),最終植入並啟用ANEL後門程式。 圖1展示了本次攻擊的完整流程。 此次攻擊使用的主要惡意檔案包含: 正常的可執行檔(JSLNTOOL.exe、JSTIEE.exe、JSVWMNG.exe,作為啟動器) 惡意DLL載入器(JSFC.dll,命名為 ANELLDR) 隨機命名的加密後門程式,ANEL Payload 合法的支援的DLL載入器(MSVCR100.dll) 圖1:2025年3月Earth Kasha的攻擊流程。 圖片來源:趨勢科技 在此次攻擊的ANEL中,發現攻擊者開始對版本號進行加密,試圖掩蓋惡意程式的演化。 另外,ANEL在某些案例中會進一步下載並安裝另一個後門程式NOOPDOOR,其最新版本開始支援DoH(DNS over HTTPS)技術,DoH是一種可將DNS查詢封裝在HTTPS通訊中,藉此繞過傳統DNS偵測機制,讓惡意中繼站通訊更難被攔截與追蹤,大幅提升後門隱匿能力。 針對此次Earth Kasha的進階APT攻擊,趨勢科技提出以下防禦建議: 1. 提高警覺性:使用者應對來路不明且含有雲端連結或附件的電子郵件保持高度警戒,避免輕易點擊或下載。 2. 停用巨集功能:建議企業與用戶停用網路下載文件中的Microsoft Office巨集自動執行功能,以防止惡意程式藉由文件植入。 3. 加強DNS監控:資安團隊應持續監控DNS活動,特別留意透過HTTPS的異常DNS請求,以防範利用DoH的惡意通訊。 以下為趨勢科技提供此次攻擊行為的IoC: Domains: srmbr[.]net kyolpon[.]com IPs: 172[.]233[.]73[.]249 172[.]105[.]62[.]188 192[.]46[.]215[.]56 139[.]162[.]38[.]102 HASH(SHA 256): 詳細請參考以下網址:https://documents.trendmicro.com/images/TEx/Earth-Kasha-Blog-IoCshFxTmpo.txt
趨勢科技揭露APT組織Earth Kasha(歸類為APT10的子群)於2025年3月針對台灣與日本政府機關及公營機構發起一波網路攻擊活動,經調查研判,其主要目的為竊取機敏資料並進行間諜活動。 此次攻擊利用釣魚郵件散播新版的ANEL後門程式,攻擊行動展現該組織攻擊手法與行為的技術不斷提升。 攻擊過程中,Earth Kasha利用已成功取得權限的帳號,向特定目標寄送含有OneDrive連結的釣魚郵件,此連結指向包含惡意Excel文件的壓縮檔,文件名稱及內容設計具吸引力,如《修正済み履歴書》、《臺日道路交通合作與調研相關公務出國報告》、《應徵研究助理》等,誘使受害者點擊並啟用巨集功能。 根據趨勢科技的分析,這些惡意Excel文件實際是具備dropper功能的惡意程式,並將其手法命名為ROAMINGMOUSE。 不同於2024年曾利用Word文件並透過滑鼠移動觸發攻擊的手法,ROAMINGMOUSE以Excel文件作為載體,且需使用者主動點擊滑鼠後,才啟動後續的惡意載入程序。 此外,ROAMINGMOUSE透過Windows管理工具(WMI)將合法的執行檔以參數形式注入explorer.exe,藉此繞過傳統防毒與行為監控機制。 隨後透過利用DLL劫持(DLL Hijacking)技術載入惡意DLL(ANELLDR),最終植入並啟用ANEL後門程式。 圖1展示了本次攻擊的完整流程。 此次攻擊使用的主要惡意檔案包含: 正常的可執行檔(JSLNTOOL.exe、JSTIEE.exe、JSVWMNG.exe,作為啟動器) 惡意DLL載入器(JSFC.dll,命名為 ANELLDR) 隨機命名的加密後門程式,ANEL Payload 合法的支援的DLL載入器(MSVCR100.dll) 圖1:2025年3月Earth Kasha的攻擊流程。 圖片來源:趨勢科技 在此次攻擊的ANEL中,發現攻擊者開始對版本號進行加密,試圖掩蓋惡意程式的演化。 另外,ANEL在某些案例中會進一步下載並安裝另一個後門程式NOOPDOOR,其最新版本開始支援DoH(DNS over HTTPS)技術,DoH是一種可將DNS查詢封裝在HTTPS通訊中,藉此繞過傳統DNS偵測機制,讓惡意中繼站通訊更難被攔截與追蹤,大幅提升後門隱匿能力。 針對此次Earth Kasha的進階APT攻擊,趨勢科技提出以下防禦建議: 1. 提高警覺性:使用者應對來路不明且含有雲端連結或附件的電子郵件保持高度警戒,避免輕易點擊或下載。 2. 停用巨集功能:建議企業與用戶停用網路下載文件中的Microsoft Office巨集自動執行功能,以防止惡意程式藉由文件植入。 3. 加強DNS監控:資安團隊應持續監控DNS活動,特別留意透過HTTPS的異常DNS請求,以防範利用DoH的惡意通訊。 以下為趨勢科技提供此次攻擊行為的IoC: Domains: srmbr[.]net kyolpon[.]com IPs: 172[.]233[.]73[.]249 172[.]105[.]62[.]188 192[.]46[.]215[.]56 139[.]162[.]38[.]102 HASH(SHA 256): 詳細請參考以下網址:https://documents.trendmicro.com/images/TEx/Earth-Kasha-Blog-IoCshFxTmpo.txt See more: https://www.twcert.org.tw/tw/cp-104-10136-2b0f8-1.html
最新文章
查看全部Source: IThome新聞 位處全球地緣政治衝突的熱區,臺灣這幾年面臨的網路攻擊活動大幅增加,時至2025年底,多家資安廠商陸續發表年度威脅態勢的回顧與展望。 首先,是11月底Fortinet全球威脅情報副總裁Derek Manky公開1月至9月的觀測結果。 位處全球地緣政治衝突的熱區,臺灣這幾年面臨的網路攻擊活動大幅增加,時至2025年底,多家資安廠商陸續發表年度威脅態勢的回顧與展望。 首
Source: IThome新聞 在現代商業競爭上,顧客體驗(Customer Experience)已成為企業勝出的關鍵戰略,而非僅僅是附加價值。 根據麥肯錫(McKinsey)的研究,提供優質顧客體驗的企業,其營收成長速度比競爭對手快1.5倍,股東回報率更是高出60%。 這不僅是一組數據,更是一個無法忽視的市場現實:忽略顧客體驗,企業終將被市場邊緣化。 更加值得深思的是,貝恩公司(Bain &
Source: IThome新聞 微軟在.NET 10正式版中導入新的統一建置架構(Unified Build),重整產品建置與發行流程,讓版本更新與安全修補的速度與可預測性大幅提升。 官方提到,這項改造是.NET團隊近4年投入基礎建置工作的成果,結合原先Linux原始碼建置經驗,目標是簡化多儲存庫開發造成的建置延遲與維護負擔。 微軟在.NET 10正式版中導入新的統一建置架構(Unified B
bottom of page
留言