TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃組織: MirrorFace / Earth Kasha / ミラーフェイス > Earth Kasha Updates TTPs in Latest Campaign Targeting Taiwan and Japan

Earth Kasha Updates TTPs in Latest Campaign Targeting Taiwan and Japan

攻撃組織: MirrorFace / Earth Kasha / ミラーフェイス *標的型攻撃 / APT / Cyber Espionage / スピアフィッシング

【訳】

Earth Kasha、台湾と日本を標的とした最新のキャンペーンでTTPを更新


【図表】


図 1. 2025 年 3 月に観察された Earth Kasha の最新のキャンペーンの感染チェーン。

図 2. 悪意のある Excel ファイルは、ANEL コンポーネントをドロップするためにユーザー操作を必要とします。

図3. ROAMINGMOUSEはWMI経由でexplorer.exeの引数として正規のEXEを起動します。

図 4. ANEL ブロブファイルには、バージョン番号が暗号化されています。

表1. 各ANELファイルバージョンでサポートされるコマンドの変更点の要約

図5. NOOPDOORはDNS over HTTPS(DoH)を使用してIPアドレスの解決を隠蔽します。
出典: https://www.trendmicro.com/en_us/research/25/d/earth-kasha-updates-ttps.html


【要約】

中国系とされるAPTグループ「Earth Kasha」は2025年3月、日本と台湾の政府・公共機関を標的にスピアフィッシング攻撃を展開し、新版のANELバックドアやNOOPDOORを使用しました。Excelファイルによる感染とともに、正規アプリのDLLサイドローディングやDNS over HTTPSを利用したC&C通信が確認され、情報窃取が目的とみられます。セキュリティ対策として、ゼロトラスト対応やDoH監視、マクロ制御が推奨されています。


【ブログ】

◆Earth Kasha Updates TTPs in Latest Campaign Targeting Taiwan and Japan (Trendmicro, 2025/04/30)
[Earth Kasha、台湾と日本を標的とした最新のキャンペーンでTTPを更新]
https://www.trendmicro.com/en_us/research/25/d/earth-kasha-updates-ttps.html


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)
  ◆標的型攻撃組織 / APT (まとめ)

◆MirrorFace (まとめ)
https://malware-log.hatenablog.com/entry/MirrorFace

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023