【安全资讯】Earth Kasha网络间谍活动中ANEL后门重新激活

概要：

2024年6月，Trend Micro发现了一项针对日本政治组织、研究机构和智库的新型鱼叉式网络钓鱼活动。此次行动归因于网络间谍组织Earth Kasha，标志着与APT10组织相关的ANEL后门工具的复苏，该工具自2018年以来处于休眠状态。此活动还使用了NOOPDOOR，一个针对高价值目标的模块化后门，突显了Earth Kasha的适应性战术和不断演变的能力。

主要内容：

此次网络钓鱼活动的主要入侵途径是精心制作的鱼叉式钓鱼邮件。这些邮件通常来自被攻陷或免费的电子邮件账户，包含指向恶意OneDrive托管的ZIP文件的链接。诱饵的主题用日语撰写，内容吸引人，例如：“关于当前美中关系的日本经济安全面试请求表”。下载后，受害者会遇到多种感染方式，包括启用宏的文档、快捷方式文件和基于PowerShell的有效载荷。

启用宏的文档引入了一种名为ROAMINGMOUSE的恶意软件投放器，该投放器提取并执行与ANEL相关的组件，同时通过沙箱感知技术逃避检测。ANEL作为一个32位HTTP后门，重新出现了多个版本，如“5.5.4 rev1”和“5.5.6 rev1”，显示出自2018年以来的改进。其中“5.5.6 rev1”版本的一项更新包括利用UAC绕过技术执行程序的新后门命令。

报告强调了ANEL对规避技术的依赖，例如：自定义Base64和HEX编码的有效载荷、使用合法应用程序进行动态DLL侧载、控制流扁平化和垃圾代码插入以防止分析。事件发生后，ANEL促进了信息收集，包括截屏、检索网络详情和执行系统命令。对于高价值目标，Earth Kasha部署了具有高级功能的模块化后门NOOPDOOR，进一步巩固了该活动的间谍动机。