Gefährliche Hackergruppe greift Diplomaten in Mitteleuropa an
Jena - ESET-Forscher decken erneut Cyberattacken in Europa auf: Die Hackergruppe MirrorFace lockte Mitte 2024 mehrere Angestellte einer diplomatischen Einrichtung in Mitteleuropa mit gezielten Phishing-Mails in die Falle. Die Masche der mit China in Verbindung stehenden Gruppe: In den Nachrichten nahm sie Bezug auf vorangegangene, legitime E-Mails zur EXPO 2025 in Japan und bot weitere Informationen zum Event an. Gingen die Opfer darauf ein, installierten sie unwissentlich gefährliche Schadsoftware auf ihren Geräten. Besonders perfide am aktuellen Fall ist, dass die Cyberkriminellen bei ihrem Angriff die Windows-Sandbox missbrauchten. Das ist eine Desktop-Umgebung, in der potenziell schädliche Anwendungen getestet werden.
"Unseres Wissens nach ist dies das erste und bisher einzige Mal, dass MirrorFace eine Einrichtung in Europa ins Visier genommen hat. Zuvor konzentrierten sich die Kriminellen auf Cyberspionage gegen japanische Organisationen", sagt ESET-Forscher Dominik Breitenbacher, der die Angriffe entdeckt hat. "MirrorFace hatte es mit seinen Angriffen auf persönliche Informationen der Mitarbeiter abgesehen. Ob Daten gestohlen wurden, ist nicht bekannt."
Der rote Drache greift an
Bisher war die APT-Gruppe MirrorFace vor allem für Angriffe auf japanische Unternehmen, politische Organisationen und Forschungseinrichtungen bekannt. Doch nun geriet erstmals ein europäisches Ziel ins Visier der Hacker. Die Cyberkriminellen gingen äußerst professionell vor und hinterließen kaum Spuren. Sie löschten systematisch Windows-Ereignisprotokolle, um ihre Aktivitäten zu verschleiern, und verschafften sich unbemerkt Zugang zu kompromittierten Systemen.
Die ESET-Forscher haben die aktuellen Angriffe unter dem Namen "Operation AkaiRy?" (japanisch für "Roter Drache") zusammengefasst.
Tarnen, täuschen und technologische Raffinesse
Die Hacker verschickten zunächst eine unverdächtige E-Mail, die sich auf eine frühere, legitime Interaktion zwischen der diplomatischen Einrichtung und einer japanischen NGO bezog. Nach der Antwort der Empfänger wurde eine zweite E-Mail mit einem bösartigen OneDrive-Link verschickt. Über diesen Link luden die Opfer ein scheinbar harmloses Word-Dokument herunter. Diese Datei löste dann eine komplexe Angriffskette aus, die zur Installation der Spionagesoftware führte. Zentrales Element der Attacke war ein so genannter Remote Access Trojaner (RAT) namens AsyncRAT. Solche RATs dienen dazu, Geräte aus der Ferne zu steuern.
Besonders raffiniert daran ist, dass erstmals eine Technik zum Einsatz kam, bei der der Trojaner innerhalb einer Windows-Sandbox ausgeführt wurde. Dabei handelt es sich um eine isolierte Umgebung, in der Entwickler zum Beispiel Anwendungen sicher testen können. Die Hacker spiegelten das gesamte Benutzerverzeichnis in diese Sandbox und waren so anschließend in der Lage, die darin enthaltenen Daten zu stehlen. So konnten sie unter Umständen interessante Informationen wie Dokumente abgreifen. Die Installation in der Sandbox erschwerte es Sicherheitslösungen, die Schadsoftware zu erkennen und zu analysieren. Daten in solchen Umgebungen werden beim Schließen der Sandbox unwiderruflich gelöscht.
Verwendete Schadsoftware gibt Aufschluss über Zugehörigkeit von MirrorFace
Bei ihren Angriffen nutzte MirrorFace unter anderem die Backdoor "ANEL". Mit solchen Hintertüren können Hacker auf Endgeräten weitere Schadsoftware nachladen und ausführen. Die Entwicklung an ANEL wurde schon vor einigen Jahren aufgegeben und nun anscheinend wiederaufgenommen. Die Backdoor gehört zum Repertoire der bekannten APT-Gruppe "APT10", die auch mit China in Verbindung steht.
"Wir haben starke Hinweise darauf, dass es sich bei MirrorFace um eine Untergruppe von APT10 handelt. Sie verwendet teilweise die gleichen Werkzeuge und verfolgt ähnliche Ziele. Auch der Code in den Schadprogrammen ist sehr ähnlich", schließt Breitenbacher.
Weitere Informationen gibt es in unserem Blogpost "Operation AkaiRy?: Hackergruppe MirrorFace stiehlt Daten über Sandbox ( https://www.welivesecurity.com/de/eset-research/operation-akairy-hackergruppe-mirrorface-stiehlt-daten-uber-sandbox )" auf Welivesecurity.com.
(Ende)
Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de
