Earth Kasha APT组织更新TTPs,针对台湾和日本的最新攻击活动分析

本文详细分析了Earth Kasha APT组织在2025年3月针对台湾和日本政府机构的最新攻击活动,包括其更新的TTPs、恶意软件ROAMINGMOUSE和ANEL后门的技术细节,以及NOOPDOOR后门对DNS over HTTPS的滥用。

Earth Kasha更新TTPs在最新针对台湾和日本的攻击活动中 | Trend Micro (美国)

摘要

APT组织Earth Kasha在2025年3月继续其活动,通过鱼叉式网络钓鱼投递新版本的ANEL后门,可能基于受害者特征进行间谍活动。该组织被认为是更大APT10组织的一部分,目标为台湾和日本的政府机构和公共机构。潜在影响可能包括信息盗窃和敏感治理数据泄露。

2025年活动中讨论的ANEL文件实现了一个新命令以支持在内存中执行BOF(Beacon Object File)。该活动还可能利用SharpHide启动第二阶段后门NOOPDOOR。

我们为组织提供主动保护系统的建议,包括对外部和未识别的OneDrive链接实施零信任方法,并持续监控DNS over HTTPS的潜在滥用。

Trend Vision One™检测并阻止本博客中讨论的IOC。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告,以获取关于Earth Kasha的丰富上下文和最新更新。

详细分析

在我们对高级持续性威胁的监控中,我们观察到一个新的针对台湾和日本的活动,可归因于Earth Kasha。我们在2025年3月检测到该活动,发现其使用鱼叉式网络钓鱼投递新版本的ANEL后门。

Earth Kasha,被认为是更大APT10保护伞的一部分,自至少2017年以来一直在进行间谍活动,并经常改变其技术、战术和工具集。该组织之前的活动记录在2024年,当时他们通过鱼叉式网络钓鱼针对日本政治组织、研究机构、智库和国际关系相关组织的个人。看来该组织在今年新的鱼叉式网络钓鱼活动中将目标扩展到包括台湾和日本的政府机构和公共机构。

我们基于受害者特征和后期利用TTPs假设该活动的动机是间谍和信息盗窃。考虑到Earth Kasha的起源被认为是中国,针对台湾和日本的潜在间谍活动具有重要的地缘政治影响。

在本博客中,我们将讨论Earth Kasha最新活动中观察到的TTPs和恶意软件。

初始访问

攻击始于鱼叉式网络钓鱼邮件:我们观察到恶意邮件从合法账户发送的情况,表明可能滥用受损账户投递恶意邮件。邮件嵌入一个OneDrive URL链接,下载包含恶意Excel文件的ZIP文件。Excel文件名和邮件主题旨在吸引目标兴趣。该活动中使用的一些文件名和邮件主题如下:

  • <REDACTED>_修正済み履歴書(日语翻译为英语:<REDACTED>_Revised Resume
  • 臺日道路交通合作與調研相關公務出國報告(台湾翻译为英语:Report on Official Business Trips Abroad Related to Taiwan-Japan Road Transportation Cooperation and Research
  • 應徵研究助理-<REDACTED>(台湾翻译为英语:Research Assistant Application-<REDACTED>

投放器

恶意Excel文件是一个启用宏的投放器,我们称之为ROAMINGMOUSE。自Earth Kasha的2024年活动以来,ROAMINGMOUSE被用作初始投放器,通过实现简单的沙箱规避技术(需要用户操作触发恶意例程)来投放ANEL组件。

使用恶意Excel文件与Earth Kasha的2024年活动不同,当时他们使用恶意Word文件。除了文件类型的变化,恶意例程触发器也从mousemove事件切换到点击事件。

ROAMINGMOUSE然后使用Base64解码嵌入的ZIP文件,将ZIP投放到磁盘,并扩展其组件。在该活动中,ROAMINGMOUSE投放了以下组件:

  • JSLNTOOL.exeJSTIEE.exeJSVWMNG.exe:由株式会社ジャストシステム(JustSystems Inc.)签名的合法应用程序
  • JSFC.dll:恶意加载器,称为ANELLDR
  • <RANDOM>:加密的ANEL负载
  • MSVCR100.dll:合法DLL,EXE的依赖项

组件被投放到以下文件路径:

  • %LOCALAPPDATA%\Microsoft\Windows\<RANDOM>
  • %LOCALAPPDATA%\Microsoft\Media Player\Transcoded Files Cache\<RANDOM>

投放组件后,ROAMINGMOUSE通过WMI启动合法EXE作为explorer.exe的参数。EXE然后通过DLL侧加载加载同一目录中的恶意DLL JSFC.dll。

我们调查中的一个显著观察是,如果ROAMINGMOUSE检测到McAfee应用程序的安装,它会改变其执行方法,在启动文件夹中创建一个批处理文件,该文件执行合法EXE作为explorer.exe的参数,而不使用WMI。

第一阶段后门:ANEL

JSFC.dll,一个称为ANELLDR的恶意加载器,在该活动中被观察到。它大部分具有与Earth Kasha之前活动中使用的加载器相同的功能。它使用AES-256-CBC和LZO解密同一目录中的加密ANEL blob文件,并在内存中执行ANEL。

已知ANEL文件嵌入其版本号,这有助于理解其演变。然而,自Earth Kasha的2024年活动以来,ANEL文件被观察到加密其版本号。我们在该新活动中观察到的ANEL文件也加密了其版本号。

至于功能,值得注意的是命令和控制(C&C)通信协议没有显著变化:该活动继续使用自定义ChaCha20、XOR和LZO的组合。然而,我们发现2025年活动中的ANEL文件实现了一个新命令以支持在内存中执行BOF(Beacon Object File)。表1总结了每个ANEL文件版本支持命令的变化。

ANEL后门后期利用

安装ANEL文件后,Earth Kasha背后的参与者使用后门命令获取屏幕截图并检查受害者环境。为此,我们观察到使用了以下命令:

  • tasklist /v
  • net localgroup administrators
  • net user

对手似乎通过查看屏幕截图、运行进程列表和域信息来调查受害者。我们假设这是为了找出他们是否渗透了预期目标,因为有几个案例中威胁参与者没有进行第二阶段后门。在他们进行第二阶段后门的案例中,我们观察到他们使用后门命令将NOOPDOOR组件下载到C:\ProgramData文件夹,并使用以下命令执行它:

cmd /c C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe C:\ProgramData\ctac.xml

我们还观察到Earth Kasha在该最新活动中可能利用SharpHide进行持久性:通过Hidden Start(hstart64.exe)启动NOOPDOOR,并在自动运行时隐藏MSBuild的UI。它可能将SharpHide注入合法应用程序进程,因为“msiexec.exe”被验证为合法,如以下命令所示:

C:\WINDOWS\system32\msiexec.exe action=create keyvalue="C:\ProgramData\hstart64.exe" arguments="/NOCONSOLE \"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe C:\ProgramData\ctac.xml\""

Earth Kasha然后使用以下命令删除ANEL工作目录:

rd /s /q "C:\Users\<REDUCTED>\AppData\Local\Microsoft\Media Player\Transcoded Files Cache\<RANDOM>" rd /s /q "C:\Users\<REDUCTED>\AppData\Local\Microsoft\Windows\<RANDOM>"

第二阶段后门:NOOPDOOR

我们还观察到对手安装了NOOPDOOR作为其第二阶段后门;NOOPDOOR是Earth Kasha自至少2021年以来独家使用的复杂后门。NOOPDOUR被观察到通过添加或删除次要功能持续演变。在该活动中NOOPDOOR观察到一个有趣的更新是它支持使用DNS over HTTPS(DoH)。

DoH是一种相对较新的技术,通过HTTPS解析IP地址来保护用户隐私,而不是不支持加密的DNS。新版本的NOOPDOOR设计为在C&C期间使用DoH协议隐藏其IP查找。NOOPDOOR嵌入支持DoH的公共DNS服务器,如Google和Cloudflare。

NOOPDOOR通过基于当前日期时间的域生成算法(DGA)生成C&C域,如我们之前博客中所述,然后尝试通过DoH解析IP以隐藏可疑域名解析。图6说明了DoH如何工作以获取IP。DNS解析的结果将在HTTPS正文中返回。

结论和安全建议

Earth Kasha继续是一个活跃的高级持续性威胁,并在其2025年3月检测到的最新活动中针对台湾和日本的政府机构和公共机构。该组织背后的恶意参与者继续使用鱼叉式网络钓鱼针对受害者,但采用了与其之前活动略有修改的TTPs。恶意Excel文件现在携带ROAMINGMOUSE,而之前他们使用Word文件;此外,恶意例程触发器也从mousemove事件切换到点击事件。

我们在该新活动中观察到的ANEL文件加密其版本号,如Earth Kasha 2024年活动中的ANEL文件版本,但我们发现2025年活动中的ANEL文件实现了一个新命令以支持在内存中执行BOF(Beacon Object File)。该最新活动还可能利用SharpHide进行持久性:通过Hidden Start(hstart64.exe)启动第二阶段后门NOOPDOOR,并在自动运行时隐藏MSBuild的UI。

企业和组织,特别是那些具有高价值资产(如与治理相关的敏感数据,以及知识产权、基础设施数据和访问凭证)的组织,应继续保持警惕并实施主动安全措施,以防止成为网络攻击的受害者。我们建议以下措施,以便企业可以帮助防范本博客中讨论的TTPs:

  • 教育用户选择
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次