Für die Suche nach Inhalten geben Sie »Content:« vor den Suchbegriffen ein, für die Suche nach Orten geben Sie »Orte:« oder »Ort:« vor den Suchbegriffen ein. Wenn Sie nichts eingeben, wird in beiden Bereichen gesucht.

 

 

ESET Deutschland: Gefährliche Hackergruppe greift Diplomaten in Mitteleuropa anZoom Button

Informationen zu Creative Commons (CC) Lizenzen, für Pressemeldungen ist der Herausgeber verantwortlich, die Quelle ist der Herausgeber

ESET Deutschland: Gefährliche Hackergruppe greift Diplomaten in Mitteleuropa an

ESET Deutschland: Gefährliche Hackergruppe greift Diplomaten in Mitteleuropa an

Jena, 18. März 2025

#ESET #Forscher decken erneut #Cyberattacken in #Europa auf: Die Hackergruppe »MirrorFace« lockte Mitte 2024 mehrere Angestellte einer diplomatischen Einrichtung in Mitteleuropa mit gezielten #Phishing #Mails in die Falle. Die Masche der mit #China in Verbindung stehenden Gruppe: In den Nachrichten nahm sie Bezug auf vorangegangene, legitime E Mails zur #EXPO 2025 in #Japan und bot weitere Informationen zum Event an. Gingen die Opfer darauf ein, installierten sie unwissentlich gefährliche #Schadsoftware auf ihren Geräten. Besonders perfide am aktuellen Fall ist, dass die Cyberkriminellen bei ihrem Angriff die #Windows #Sandbox missbrauchten. Das ist eine #Desktop Umgebung, in der potenziell schädliche Anwendungen getestet werden.

»Unseres Wissens nach ist dies das erste und bisher einzige Mal, dass MirrorFace eine Einrichtung in Europa ins Visier genommen hat. Zuvor konzentrierten sich die Kriminellen auf Cyberspionage gegen japanische Organisationen«, sagt ESET Forscher Dominik Breitenbacher, der die Angriffe entdeckt hat. »›MirrorFace‹ hatte es mit seinen Angriffen auf persönliche Informationen der Mitarbeiter abgesehen. Ob Daten gestohlen wurden, ist nicht bekannt.«

Der rote Drache greift an

Bisher war die APT Gruppe »MirrorFace« vor allem für Angriffe auf japanische Unternehmen, politische Organisationen und Forschungseinrichtungen bekannt. Doch nun geriet erstmals ein europäisches Ziel ins Visier der Hacker. Die Cyberkriminellen gingen äußerst professionell vor und hinterließen kaum Spuren. Sie löschten systematisch Windows #Ereignisprotokolle, um ihre Aktivitäten zu verschleiern, und verschafften sich unbemerkt Zugang zu kompromittierten Systemen.

Die ESET Forscher haben die aktuellen Angriffe unter dem Namen »Operation AkaiRyu« (japanisch für »Roter Drache«) zusammengefasst.

Tarnen, täuschen und technologische Raffinesse

Die #Hacker verschickten zunächst eine unverdächtige E Mail, die sich auf eine frühere, legitime Interaktion zwischen der diplomatischen Einrichtung und einer japanischen #NGO bezog. Nach der Antwort der Empfänger wurde eine zweite E Mail mit einem bösartigen »#OneDrive« Link verschickt. Über diesen Link luden die Opfer ein scheinbar harmloses #Word Dokument herunter. Diese Datei löste dann eine komplexe Angriffskette aus, die zur Installation der Spionagesoftware führte. Zentrales Element der Attacke war ein so genannter Remote Access Trojaner (RAT) namens »AsyncRAT«. Solche RATs dienen dazu, Geräte aus der Ferne zu steuern.

Besonders raffiniert daran ist, dass erstmals eine Technik zum Einsatz kam, bei der der #Trojaner innerhalb einer Windows Sandbox ausgeführt wurde. Dabei handelt es sich um eine isolierte Umgebung, in der Entwickler zum Beispiel Anwendungen sicher testen können. Die Hacker spiegelten das gesamte Benutzerverzeichnis in diese Sandbox und waren so anschließend in der Lage, die darin enthaltenen Daten zu stehlen. So konnten sie unter Umständen interessante Informationen wie Dokumente abgreifen. Die Installation in der Sandbox erschwerte es Sicherheitslösungen, die Schadsoftware zu erkennen und zu analysieren. Daten in solchen Umgebungen werden beim Schließen der Sandbox unwiderruflich gelöscht.

Verwendete Schadsoftware gibt Aufschluss über Zugehörigkeit von »MirrorFace«

Bei ihren Angriffen nutzte »MirrorFace« unter anderem die Backdoor »ANEL«. Mit solchen Hintertüren können Hacker auf Endgeräten weitere Schadsoftware nachladen und ausführen. Die Entwicklung an »ANEL« wurde schon vor einigen Jahren aufgegeben und nun anscheinend wiederaufgenommen. Die Backdoor gehört zum Repertoire der bekannten APT Gruppe »APT10«, die auch mit China in Verbindung steht.

»Wir haben starke Hinweise darauf, dass es sich bei ›‹MirrorFace um eine Untergruppe von APT10 handelt. Sie verwendet teilweise die gleichen Werkzeuge und verfolgt ähnliche Ziele. Auch der Code in den Schadprogrammen ist sehr ähnlich«, schließt Breitenbacher.

Weitere Informationen gibt es im #Blogpost »Operation ›AkaiRyu‹: Hackergruppe ›MirrorFace‹ stiehlt Daten über Sandbox« auf welivesecurity.com.

Content bei Gütsel Online …

 
Gütsel
Termine und Events

Veranstaltungen
nicht nur in Gütersloh und Umgebung

September 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
282930
November 2025
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30
Dezember 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
28293031
Februar 2026
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
September 2026
So Mo Di Mi Do Fr Sa
12345
6789101112
13141516171819
20212223242526
27282930
November 2026
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
2930
Dezember 2026
So Mo Di Mi Do Fr Sa
12345
6789101112
13141516171819
20212223242526
2728293031
Februar 2027
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
28
November 2042
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30