ESET Deutschland: Gefährliche Hackergruppe greift Diplomaten in Mitteleuropa an

ESET Deutschland: Gefährliche Hackergruppe greift Diplomaten in Mitteleuropa an

Jena, 18. März 2025

#ESET #Forscher decken erneut #Cyberattacken in #Europa auf: Die Hackergruppe »MirrorFace« lockte Mitte 2024 mehrere Angestellte einer diplomatischen Einrichtung in Mitteleuropa mit gezielten #Phishing #Mails in die Falle. Die Masche der mit #China in Verbindung stehenden Gruppe: In den Nachrichten nahm sie Bezug auf vorangegangene, legitime E Mails zur #EXPO 2025 in #Japan und bot weitere Informationen zum Event an. Gingen die Opfer darauf ein, installierten sie unwissentlich gefährliche #Schadsoftware auf ihren Geräten. Besonders perfide am aktuellen Fall ist, dass die Cyberkriminellen bei ihrem Angriff die #Windows #Sandbox missbrauchten. Das ist eine #Desktop Umgebung, in der potenziell schädliche Anwendungen getestet werden.

»Unseres Wissens nach ist dies das erste und bisher einzige Mal, dass MirrorFace eine Einrichtung in Europa ins Visier genommen hat. Zuvor konzentrierten sich die Kriminellen auf Cyberspionage gegen japanische Organisationen«, sagt ESET Forscher Dominik Breitenbacher, der die Angriffe entdeckt hat. »›MirrorFace‹ hatte es mit seinen Angriffen auf persönliche Informationen der Mitarbeiter abgesehen. Ob Daten gestohlen wurden, ist nicht bekannt.«

Der rote Drache greift an

Bisher war die APT Gruppe »MirrorFace« vor allem für Angriffe auf japanische Unternehmen, politische Organisationen und Forschungseinrichtungen bekannt. Doch nun geriet erstmals ein europäisches Ziel ins Visier der Hacker. Die Cyberkriminellen gingen äußerst professionell vor und hinterließen kaum Spuren. Sie löschten systematisch Windows #Ereignisprotokolle, um ihre Aktivitäten zu verschleiern, und verschafften sich unbemerkt Zugang zu kompromittierten Systemen.

Die ESET Forscher haben die aktuellen Angriffe unter dem Namen »Operation AkaiRyu« (japanisch für »Roter Drache«) zusammengefasst.

Tarnen, täuschen und technologische Raffinesse

Die #Hacker verschickten zunächst eine unverdächtige E Mail, die sich auf eine frühere, legitime Interaktion zwischen der diplomatischen Einrichtung und einer japanischen #NGO bezog. Nach der Antwort der Empfänger wurde eine zweite E Mail mit einem bösartigen »#OneDrive« Link verschickt. Über diesen Link luden die Opfer ein scheinbar harmloses #Word Dokument herunter. Diese Datei löste dann eine komplexe Angriffskette aus, die zur Installation der Spionagesoftware führte. Zentrales Element der Attacke war ein so genannter Remote Access Trojaner (RAT) namens »AsyncRAT«. Solche RATs dienen dazu, Geräte aus der Ferne zu steuern.

Besonders raffiniert daran ist, dass erstmals eine Technik zum Einsatz kam, bei der der #Trojaner innerhalb einer Windows Sandbox ausgeführt wurde. Dabei handelt es sich um eine isolierte Umgebung, in der Entwickler zum Beispiel Anwendungen sicher testen können. Die Hacker spiegelten das gesamte Benutzerverzeichnis in diese Sandbox und waren so anschließend in der Lage, die darin enthaltenen Daten zu stehlen. So konnten sie unter Umständen interessante Informationen wie Dokumente abgreifen. Die Installation in der Sandbox erschwerte es Sicherheitslösungen, die Schadsoftware zu erkennen und zu analysieren. Daten in solchen Umgebungen werden beim Schließen der Sandbox unwiderruflich gelöscht.

Verwendete Schadsoftware gibt Aufschluss über Zugehörigkeit von »MirrorFace«

Bei ihren Angriffen nutzte »MirrorFace« unter anderem die Backdoor »ANEL«. Mit solchen Hintertüren können Hacker auf Endgeräten weitere Schadsoftware nachladen und ausführen. Die Entwicklung an »ANEL« wurde schon vor einigen Jahren aufgegeben und nun anscheinend wiederaufgenommen. Die Backdoor gehört zum Repertoire der bekannten APT Gruppe »APT10«, die auch mit China in Verbindung steht.

»Wir haben starke Hinweise darauf, dass es sich bei ›‹MirrorFace um eine Untergruppe von APT10 handelt. Sie verwendet teilweise die gleichen Werkzeuge und verfolgt ähnliche Ziele. Auch der Code in den Schadprogrammen ist sehr ähnlich«, schließt Breitenbacher.

Weitere Informationen gibt es im #Blogpost »Operation ›AkaiRyu‹: Hackergruppe ›MirrorFace‹ stiehlt Daten über Sandbox« auf welivesecurity.com.

Content bei Gütsel Online …