109 
0 Kommentare
Gefährliche Hackergruppe greift Diplomaten in Mitteleuropa an
Jena (ots) - ESET Forscher decken erneut Cyberattacken in Europa auf: Die
Hackergruppe MirrorFace lockte Mitte 2024 mehrere Angestellte einer
diplomatischen Einrichtung in Mitteleuropa mit gezielten Phishing-Mails in die
Falle. Die Masche der mit China in Verbindung stehenden Gruppe: In den
Nachrichten nahm sie Bezug auf vorangegangene, legitime E-Mails zur EXPO 2025 in
Japan und bot weitere Informationen zum Event an. Gingen die Opfer darauf ein,
installierten sie unwissentlich gefährliche Schadsoftware auf ihren Geräten.
Besonders perfide am aktuellen Fall ist, dass die Cyberkriminellen bei ihrem
Angriff die Windows-Sandbox missbrauchten. Das ist eine Desktop-Umgebung, in der
potenziell schädliche Anwendungen getestet werden.
"Unseres Wissens nach ist dies das erste und bisher einzige Mal, dass MirrorFace
eine Einrichtung in Europa ins Visier genommen hat. Zuvor konzentrierten sich
die Kriminellen auf Cyberspionage gegen japanische Organisationen", sagt ESET
Forscher Dominik Breitenbacher, der die Angriffe entdeckt hat. "MirrorFace hatte
es mit seinen Angriffen auf persönliche Informationen der Mitarbeiter abgesehen.
Ob Daten gestohlen wurden, ist nicht bekannt."
Hackergruppe MirrorFace lockte Mitte 2024 mehrere Angestellte einer
diplomatischen Einrichtung in Mitteleuropa mit gezielten Phishing-Mails in die
Falle. Die Masche der mit China in Verbindung stehenden Gruppe: In den
Nachrichten nahm sie Bezug auf vorangegangene, legitime E-Mails zur EXPO 2025 in
Japan und bot weitere Informationen zum Event an. Gingen die Opfer darauf ein,
installierten sie unwissentlich gefährliche Schadsoftware auf ihren Geräten.
Besonders perfide am aktuellen Fall ist, dass die Cyberkriminellen bei ihrem
Angriff die Windows-Sandbox missbrauchten. Das ist eine Desktop-Umgebung, in der
potenziell schädliche Anwendungen getestet werden.
"Unseres Wissens nach ist dies das erste und bisher einzige Mal, dass MirrorFace
eine Einrichtung in Europa ins Visier genommen hat. Zuvor konzentrierten sich
die Kriminellen auf Cyberspionage gegen japanische Organisationen", sagt ESET
Forscher Dominik Breitenbacher, der die Angriffe entdeckt hat. "MirrorFace hatte
es mit seinen Angriffen auf persönliche Informationen der Mitarbeiter abgesehen.
Ob Daten gestohlen wurden, ist nicht bekannt."
Der rote Drache greift an
Bisher war die APT-Gruppe MirrorFace vor allem für Angriffe auf japanische
Unternehmen, politische Organisationen und Forschungseinrichtungen bekannt. Doch
nun geriet erstmals ein europäisches Ziel ins Visier der Hacker. Die
Cyberkriminellen gingen äußerst professionell vor und hinterließen kaum Spuren.
Sie löschten systematisch Windows-Ereignisprotokolle, um ihre Aktivitäten zu
verschleiern, und verschafften sich unbemerkt Zugang zu kompromittierten
Systemen.
Die ESET Forscher haben die aktuellen Angriffe unter dem Namen "Operation
AkaiRyu" (japanisch für "Roter Drache") zusammengefasst.
Tarnen, täuschen und technologische Raffinesse
Die Hacker verschickten zunächst eine unverdächtige E-Mail, die sich auf eine
frühere, legitime Interaktion zwischen der diplomatischen Einrichtung und einer
japanischen NGO bezog. Nach der Antwort der Empfänger wurde eine zweite E-Mail
mit einem bösartigen OneDrive-Link verschickt. Über diesen Link luden die Opfer
ein scheinbar harmloses Word-Dokument herunter. Diese Datei löste dann eine
komplexe Angriffskette aus, die zur Installation der Spionagesoftware führte.
Zentrales Element der Attacke war ein so genannter Remote Access Trojaner (RAT)
namens AsyncRAT. Solche RATs dienen dazu, Geräte aus der Ferne zu steuern.
Besonders raffiniert daran ist, dass erstmals eine Technik zum Einsatz kam, bei
der der Trojaner innerhalb einer Windows-Sandbox ausgeführt wurde. Dabei handelt
es sich um eine isolierte Umgebung, in der Entwickler zum Beispiel Anwendungen
sicher testen können. Die Hacker spiegelten das gesamte Benutzerverzeichnis in
diese Sandbox und waren so anschließend in der Lage, die darin enthaltenen Daten
zu stehlen. So konnten sie unter Umständen interessante Informationen wie
Dokumente abgreifen. Die Installation in der Sandbox erschwerte es
Sicherheitslösungen, die Schadsoftware zu erkennen und zu analysieren. Daten in
solchen Umgebungen werden beim Schließen der Sandbox unwiderruflich gelöscht.
Verwendete Schadsoftware gibt Aufschluss über Zugehörigkeit von MirrorFace
Bei ihren Angriffen nutzte MirrorFace unter anderem die Backdoor "ANEL". Mit
solchen Hintertüren können Hacker auf Endgeräten weitere Schadsoftware nachladen
und ausführen. Die Entwicklung an ANEL wurde schon vor einigen Jahren aufgegeben
und nun anscheinend wiederaufgenommen. Die Backdoor gehört zum Repertoire der
bekannten APT-Gruppe "APT10", die auch mit China in Verbindung steht.
"Wir haben starke Hinweise darauf, dass es sich bei MirrorFace um eine
Untergruppe von APT10 handelt. Sie verwendet teilweise die gleichen Werkzeuge
und verfolgt ähnliche Ziele. Auch der Code in den Schadprogrammen ist sehr
ähnlich", schließt Breitenbacher.
Weitere Informationen gibt es in unserem Blogpost " Operation AkaiRyu:
Hackergruppe MirrorFace stiehlt Daten über Sandbox (https://www.welivesecurity.c
om/de/eset-research/operation-akairy-hackergruppe-mirrorface-stiehlt-daten-uber-
sandbox) " auf Welivesecurity.com.
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
mailto:christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
mailto:Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
mailto:Philipp.plum@eset.de
Folgen Sie ESET:
http://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Weiteres Material: http://presseportal.de/pm/71571/5993250
OTS: ESET Deutschland GmbH
Bisher war die APT-Gruppe MirrorFace vor allem für Angriffe auf japanische
Unternehmen, politische Organisationen und Forschungseinrichtungen bekannt. Doch
nun geriet erstmals ein europäisches Ziel ins Visier der Hacker. Die
Cyberkriminellen gingen äußerst professionell vor und hinterließen kaum Spuren.
Sie löschten systematisch Windows-Ereignisprotokolle, um ihre Aktivitäten zu
verschleiern, und verschafften sich unbemerkt Zugang zu kompromittierten
Systemen.
Die ESET Forscher haben die aktuellen Angriffe unter dem Namen "Operation
AkaiRyu" (japanisch für "Roter Drache") zusammengefasst.
Tarnen, täuschen und technologische Raffinesse
Die Hacker verschickten zunächst eine unverdächtige E-Mail, die sich auf eine
frühere, legitime Interaktion zwischen der diplomatischen Einrichtung und einer
japanischen NGO bezog. Nach der Antwort der Empfänger wurde eine zweite E-Mail
mit einem bösartigen OneDrive-Link verschickt. Über diesen Link luden die Opfer
ein scheinbar harmloses Word-Dokument herunter. Diese Datei löste dann eine
komplexe Angriffskette aus, die zur Installation der Spionagesoftware führte.
Zentrales Element der Attacke war ein so genannter Remote Access Trojaner (RAT)
namens AsyncRAT. Solche RATs dienen dazu, Geräte aus der Ferne zu steuern.
Besonders raffiniert daran ist, dass erstmals eine Technik zum Einsatz kam, bei
der der Trojaner innerhalb einer Windows-Sandbox ausgeführt wurde. Dabei handelt
es sich um eine isolierte Umgebung, in der Entwickler zum Beispiel Anwendungen
sicher testen können. Die Hacker spiegelten das gesamte Benutzerverzeichnis in
diese Sandbox und waren so anschließend in der Lage, die darin enthaltenen Daten
zu stehlen. So konnten sie unter Umständen interessante Informationen wie
Dokumente abgreifen. Die Installation in der Sandbox erschwerte es
Sicherheitslösungen, die Schadsoftware zu erkennen und zu analysieren. Daten in
solchen Umgebungen werden beim Schließen der Sandbox unwiderruflich gelöscht.
Verwendete Schadsoftware gibt Aufschluss über Zugehörigkeit von MirrorFace
Bei ihren Angriffen nutzte MirrorFace unter anderem die Backdoor "ANEL". Mit
solchen Hintertüren können Hacker auf Endgeräten weitere Schadsoftware nachladen
und ausführen. Die Entwicklung an ANEL wurde schon vor einigen Jahren aufgegeben
und nun anscheinend wiederaufgenommen. Die Backdoor gehört zum Repertoire der
bekannten APT-Gruppe "APT10", die auch mit China in Verbindung steht.
"Wir haben starke Hinweise darauf, dass es sich bei MirrorFace um eine
Untergruppe von APT10 handelt. Sie verwendet teilweise die gleichen Werkzeuge
und verfolgt ähnliche Ziele. Auch der Code in den Schadprogrammen ist sehr
ähnlich", schließt Breitenbacher.
Weitere Informationen gibt es in unserem Blogpost " Operation AkaiRyu:
Hackergruppe MirrorFace stiehlt Daten über Sandbox (https://www.welivesecurity.c
om/de/eset-research/operation-akairy-hackergruppe-mirrorface-stiehlt-daten-uber-
sandbox) " auf Welivesecurity.com.
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
mailto:christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
mailto:Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
mailto:Philipp.plum@eset.de
Folgen Sie ESET:
http://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Weiteres Material: http://presseportal.de/pm/71571/5993250
OTS: ESET Deutschland GmbH
Verfasst von news aktuell
URL kopieren
Per E-Mail teilen
Artikel drucken