根據TWCERT/CC官網，趨勢科技近日發布重要資安警報，揭露APT組織Earth Kasha，該組織歸屬於APT10子群於今年3月針對台灣與日本政府機關及公營機構發起大規模網路攻擊。此次攻擊行動主要目的為竊取機敏資料並進行間諜活動，攻擊手法展現該組織技術能力的顯著提升。

新型攻擊手法「ROAMINGMOUSE」現身
攻擊者採用多層次社交工程手法，利用已遭入侵的帳號向特定目標發送釣魚郵件，郵件內含OneDrive雲端連結，誘導受害者下載包含惡意Excel文件的壓縮檔。這些文件以極具吸引力的名稱包裝，包括《修正済み履歴書》、《臺日道路交通合作與調研相關公務出國報告》、《應徵研究助理》等，成功誘使目標用戶點擊並啟用巨集功能。

趨勢科技將此次發現的新攻擊技術命名為「ROAMINGMOUSE」。與2024年透過Word文件並利用滑鼠移動觸發攻擊的手法不同，ROAMINGMOUSE改以Excel文件為載體，需要使用者主動點擊滑鼠才能啟動後續惡意程序，展現攻擊者對規避偵測技術的精進。

技術層面突破：多重繞過機制
攻擊流程採用複雜的多階段載入機制。ROAMINGMOUSE透過Windows管理工具（WMI）將合法執行檔以參數形式注入explorer.exe程序，成功繞過傳統防毒軟體與行為監控系統。隨後利用DLL劫持技術載入惡意DLL載入器（ANELLDR），最終植入並啟用ANEL後門程式。
此次攻擊使用的主要惡意檔案架構包括：
正常可執行檔作為啟動器（JSLNTOOL.exe、JSTIEE.exe、JSVWMNG.exe）
惡意DLL載入器JSFC.dll（代號ANELLDR）
隨機命名的加密ANEL後門程式
合法支援DLL載入器MSVCR100.dll
最值得關注的技術突破在於ANEL後門程式的最新版本開始支援DNS over HTTPS（DoH）技術。DoH將DNS查詢封裝在HTTPS通訊中，能夠繞過傳統DNS偵測機制，使惡意中繼站通訊更難被攔截與追蹤，大幅提升後門程式的隱匿能力。
此外，攻擊者開始對ANEL的版本號進行加密處理，試圖掩蓋惡意程式的演化軌跡。在某些攻擊案例中，ANEL會進一步下載並安裝另一個後門程式NOOPDOOR，形成多重持續性威脅。
防禦建議與威脅指標
趨勢科技針對此次攻擊提出三大防禦建議：
提高警覺性：對來路不明且含有雲端連結或附件的電子郵件保持高度警戒
停用巨集功能：建議企業停用網路下載文件中的Microsoft Office巨集自動執行功能
加強DNS監控：資安團隊應持續監控DNS活動，特別關注透過HTTPS的異常DNS請求
相關威脅指標（IoC）：
惡意域名：srmbr[.]net、kyolpon[.]com
可疑IP位址：172[.]233[.]73[.]249、172[.]105[.]62[.]188、192[.]46[.]215[.]56、139[.]162[.]38[.]102
這起攻擊事件凸顯APT組織持續精進攻擊技術的趨勢，特別是在社交工程與技術繞過手法的結合運用上。政府機關與企業組織應加強員工資安意識訓練，同時部署多層次防禦機制，以因應日益複雜的進階持續性威脅。

資料來源：資安人INFO SECURITY