Angriffe durch MirrorFace
Eine gefährliche Hackergruppe, bekannt als MirrorFace, hat im Jahr 2024 gezielte Cyberangriffe auf Diplomaten in Mitteleuropa durchgeführt. Die Angriffe wurden durch Phishing-E-Mails initiiert, die an Mitarbeiter einer diplomatischen Einrichtung gesendet wurden. Diese E-Mails bezogen sich auf frühere, legitime Korrespondenzen zur EXPO 2025 in Japan und boten vermeintlich weitere Informationen zu dem Event an.
Techniken der Cyberkriminellen
Die Angreifer nutzten die Gelegenheit, um Schadsoftware auf den Geräten der Opfer zu installieren, ohne dass diese es bemerkten. Besonders bemerkenswert ist, dass die Hacker die Windows-Sandbox ausnutzten, eine Umgebung, in der potenziell schädliche Software getestet werden kann. Laut ESET-Forschern handelt es sich hierbei um den ersten bekannten Angriff von MirrorFace auf eine europäische Einrichtung, nachdem die Gruppe zuvor hauptsächlich japanische Organisationen ins Visier genommen hatte.
Operation AkaiRyu
Die ESET-Forscher haben die Angriffe unter dem Namen „Operation AkaiRyu“ (japanisch für „Roter Drache“) zusammengefasst. Die Gruppe zeigte sich bei ihren Aktivitäten äußerst professionell und hinterließ kaum Spuren. Sie löschten systematisch Windows-Ereignisprotokolle, um ihre Spuren zu verwischen und verschafften sich unbemerkt Zugang zu den kompromittierten Systemen.
Die Angriffsmethode
Die Hacker begannen mit einer unverdächtigen E-Mail, die sich auf eine frühere, legitime Kommunikation zwischen der diplomatischen Einrichtung und einer japanischen NGO bezog. Nach einer Antwort der Empfänger wurde eine zweite E-Mail mit einem bösartigen Link zu OneDrive versendet. Durch diesen Link luden die Opfer ein scheinbar harmloses Word-Dokument herunter, das eine komplexe Angriffskette auslöste und zur Installation von Spionagesoftware führte.
Verwendung von Remote Access Trojaner
Ein zentrales Element der Attacke war ein Remote Access Trojaner (RAT) namens AsyncRAT, der es den Angreifern ermöglichte, die Geräte aus der Ferne zu steuern. Besonders raffiniert war der Einsatz einer Technik, bei der der Trojaner innerhalb einer Windows-Sandbox ausgeführt wurde. Die Hacker spiegelten das gesamte Benutzerverzeichnis in diese Sandbox, was ihnen ermöglichte, unbemerkt auf persönliche Daten zuzugreifen.
