Mit Spear-Phishing-Angriffen auf einzelne Mitglieder einer politischen Partei versuchte die chinesische APT-Gruppe MirrorFace Einfluss auf die Wahlen zum japanischen Abgeordnetenhaus im Juli 2022 zu nehmen ESET Forscher untersuchten diese Kampagne, die sie als Operation LiberalFace bezeichnen. Hierbei fanden die Experten heraus, dass die betrügerischen E-Mails die bekannte Malware LODEINFO enthielt. Diese Backdoor dient dazu, Schadprogramme zu verbreiten oder Anmeldedaten, Dokumente und E-Mails ihrer Opfer zu stehlen. Über die Hacker ist bekannt, dass sie chinesisch sprechen und ihre Hauptziele in Japan liegen. Ihre Analyse haben die Experten des europäischen IT-Sicherheitsherstellers auf WeLiveSecurity.de veröffentlicht.
Wie verschafften sich die Hacker Zugang?
Unter dem Vorwand, die PR-Abteilung einer japanischen politischen Partei zu sein, forderte MirrorFace die Empfänger der E-Mails auf, die angehängten Videos auf ihren eigenen Social-Media-Profilen zu verbreiten. So sollte angeblich die Wahrnehmung der Partei weiter gestärkt und der Sieg in der Abgeordnetenkammer gesichert werden. Darüber hinaus enthält die Nachricht klare Anweisungen zur Veröffentlichungsstrategie für die Videos. Die E-Mail wurde vermeintlich im Namen eines prominenten Politikers verschickt. Alle Spear-Phishing-Nachrichten enthielten einen bösartigen Anhang, der bei Ausführung das Schadprogramm LODEINFO auf dem kompromittierten Rechner auslöste. MirrorFace startete den Angriff am 29. Juni 2022, also noch vor den japanischen Wahlen im Juli.
Was ist LODEINFO?
LODEINFO ist eine MirrorFace-Backdoor, die kontinuierlich weiterentwickelt wird. Zu ihren Funktionen gehören das Aufnehmen von Screenshots, Keylogging, das Beenden von Prozessen, das Exfiltrieren von Daten, das Ausführen zusätzlicher und das Verschlüsseln bestimmter Dateien und Ordner. Bei dem Angriff wurde ein bisher nicht dokumentierter Credential Stealer verwendet, der von ESET Research den Namen MirrorStealer erhielt. Er ist in der Lage, Anmeldeinformationen von verschiedenen Anwendungen wie Browsern und E-Mail-Clients zu stehlen.
Hacker hinterlassen Spuren
„Während unserer Untersuchung zur Operation LiberalFace deckten wir weitere MirrorFace-Taktiken, -Techniken und -Verfahren auf, wie zum Beispiel den Einsatz und die Nutzung zusätzlicher Malware und Tools, um wertvolle Daten von Opfern zu sammeln und zu exfiltrieren. Außerdem hat unsere Analyse ergeben, dass die APT-Gruppe etwas nachlässig agiert, Spuren hinterließ und verschiedene Fehler gemacht hat“, sagt ESET-Forscher Dominik Breitenbacher, der die Kampagne entdeckt hat.
Wer ist MirrorFace?
MirrorFace ist ein chinesischsprachiger Bedrohungsakteur, der es auf Unternehmen und Organisationen mit Sitz in Japan abgesehen hat. Es gibt Spekulationen, dass diese Hackergruppe mit APT10 in Verbindung stehen könnte. Eindeutige Beweise dafür oder für Kooperationen mit anderen APT-Gruppen konnte ESET bei seiner Analyse nicht finden. Daher verfolgt der europäische IT-Sicherheitshersteller die MirrorFace als eigenständige Einheit. Die Gruppe hat es Berichten zufolge vor allem auf Medien, Verteidigungsunternehmen, Think Tanks, diplomatische Organisationen und akademische Einrichtungen abgesehen. Das Ziel von MirrorFace ist die Spionage und Exfiltration interessanter Dateien.
Weitere technische Informationen zur Operation LiberalFace der APT-Gruppe MirrorFace gibt es auf WeLiveSecurity: www.welivesecurity.com/deutsch/2022/12/14/mirrorface-operation-liberalface/