สรุปข้อมูล

กลุ่มแฮกเกอร์ MirrorFace หรือที่รู้จักกันในชื่อ Earth Kasha จากประเทศจีน มุ่งโจมตีไปยังหน่วยงานรัฐและสถาบันสาธารณะต่าง ๆ ในประเทศญี่ปุ่นและไต้หวัน โดยใช้มัลแวร์ ROAMINGMOUSE ร่วมกับมัลแวร์ Backdoor ชื่อว่า ANEL ที่มีการพัฒนาให้สามารถรัน Beacon Object File (BOF) ในหน่วยความจำได้ ซึ่ง BOF เป็นไฟล์ภาษา C ที่ถูก Compile เพื่อใช้กับ Cobalt Strike Beacon ให้ทำงานไวขึ้นและหลีกเลี่ยงการถูก EDR ตรวจจับได้มีประสิทธิภาพกว่าการรัน PowerShell หรือ EXE ปกติ วัตถุประสงค์การโจมตีของแฮกเกอร์คือ การจารกรรมและขโมยข้อมูลของเหยื่อ

รายละเอียดการโจมตี

รูปที่ 1: ขั้นตอนการโจมตีของ MirrorFace

1. การโจมตีเริ่มต้นจากแฮกเกอร์ส่งอีเมลแบบ Spear-phishing พร้อมแนบลิงก์ Microsoft OneDrive ที่มีไฟล์ ZIP ถูกโฮสต์อยู่ ซึ่งไฟล์นี้มีไฟล์ Excel อันตรายโดยที่ชื่อไฟล์และหัวข้อของอีเมลออกแบบให้หลอกล่อเหยื่อทำ Interact กับไฟล์ดังกล่าว
2. เมื่อเหยื่อดาวน์โหลดไฟล์ Excel ที่มี Macro อันตรายสำเร็จ จะพบว่ามี ROAMINGMOUSE ซึ่งทำหน้าที่เป็น Dropper ขั้นแรกที่ใช้ในแคมเปญการโจมตีนี้ ROAMINGMOUSE จะ Decode Base64 ไฟล์ ZIP ที่อยู่ภายใน Dropper เองและทำการแตกไฟล์และติดตั้ง Component ที่เกี่ยวข้องกับการโจมตีดังนี้:
   • JSLNTOOL[.]exe, JSTIEE[.]exe, หรือ JSVWMNG[.]exe ซึ่งเป็นแอปพลิเคชันที่ถูกต้องของบริษัท JustSystems Inc. ของประเทศญี่ปุ่น
   • JSFC[.]dll เป็น Loader ชื่อว่า ANELLDR
   • Payload ของ ANEL ที่ถูก Encrypt ไว้
   • MSVCR100[.]dll ไฟล์ DLL ที่ใช้เป็น Dependency

โดย Component ต่าง ๆ จะอยู่ใน Path:

• “%LOCALAPPDATA%MicrosoftWindows<RANDOM>” และ
• “%LOCALAPPDATA%MicrosoftMedia PlayerTranscoded Files Cache<RANDOM>”

3. หลังจากนั้น ROAMINGMOUSE จะเรียกใช้งานไฟล์ EXE เป็น Argument ของ “explorer[.]exe” ผ่าน WMI ต่อมา EXE ทำการโหลด JSFC[.]dll นอกจากนี้หากพบเครื่องของเหยื่อมีการติดตั้ง McAfee อยู่จะเปลี่ยนวิธีรันโดยการสร้างไฟล์ Batch ในโฟลเดอร์ Startup ในการเรียกใช้ EXE แทน WMI
4. JSFC[.]dll หรือ ANELLDR Loader จะดาวน์โหลด ANEL Blob โดยการ Decrypt ไฟล์ที่ถูก Encrypt ด้วย AES-256-CBC และ LZO บนหน่วยความจำ
5. เมื่อติดตั้งมัลแวร์ ANEL Backdoor เสร็จสิ้น แฮกเกอร์จะใช้ Command ของมัลแวร์ในการค้นหาและขโมยข้อมูลสภาพแวดล้อมของเหยื่อ เช่น “tasklist /v”, “net localgroup administrators” และ “net user” ไม่ว่าจะเป็น Process ที่ทำงานอยู่ การ Capture หน้าจอและข้อมูลโดเมน เพื่อประกอบการตัดสินใจว่าจะทำการโจมตีต่อหรือไม่
6. หากแฮกเกอร์ดำเนินการโจมตีต่อ จะทำการติดตั้งมัลแวร์ NOOPDOOR ซึ่งเป็น Backdoor ผ่าน hstart64[.]exe ไปที่ “C:ProgramData” เพื่อซ่อน UI ของ MSBuild ขณะ Autorun และ Inject SharpHide ไปยัง msiexec[.]exe
7. มัลแวร์ NOOPDOOR จะทำการสร้าง C2 โดเมนแบบสุ่มด้วย Domain Generation Algorithm (DGA) และใช้ DNS over HTTPS (DoH) เพื่อ Resolve IP ซึ่งวิธีนี้เป็นการ Query และ Response DNS ผ่าน HTTPS โดยใช้ DNS server ของ Google และ Cloudflare

ผลกระทบจากการโจมตี

การโจมตีด้วยมัลแวร์ ROAMINGMOUSE, ANELLDR, ANEL Backdoor และ NOOPDOOR ส่งผลให้กลุ่มแฮกเกอร์ MirrorFace สามารถเข้าถึงและขโมยข้อมูลต่าง ๆ ของเหยื่อ เช่น Environment ของระบบ นอกจากนี้กลุ่มแฮกเกอร์อาจทำการติดตั้งมัลแวร์อื่น ๆ เพิ่มเติมบนอุปกรณ์ของเหยื่อในการขยายขอบเขตการโจมตีอีกด้วย

สรุปการโจมตี

การโจมตีเริ่มต้นจากแฮกเกอร์ส่งอีเมล Spear-phishing พร้อมไฟล์ ZIP ที่มีไฟล์ Excel อันตรายอยู่ภายใน และหลอกล่อเหยื่อเพื่อให้เหยื่อคลิกและดาวน์โหลดไฟล์อันตรายดังกล่าว หลังจากนั้นแฮกเกอร์ทำการติดตั้ง ROAMINGMOUSE Dropper, ANELLDR Loader, ANEL Backdoor และ NOOPDOOR ตามลำดับ

คำแนะนำ

• Awareness Training ให้แก่พนักงานในองค์กร เช่น การโจมตีในรูปแบบ Phishing
• ใช้ Mail Gateway ในการตรวจจับอีเมล หรือลิงก์อันตรายที่แนบมา
• อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
• พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
• ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ

แหล่งอ้างอิง

hxxps://thehackernews[.]com/2025/05/mirrorface-targets-japan-and-taiwan[.]html

hxxps://www[.]trendmicro[.]com/en_us/research/25/d/earth-kasha-updates-ttps[.]html