1 Like
Habe noch Infos zur Gruppe gefunden:
MirrorFace, auch bekannt als Earth Kasha, operiert unter der mit China verbundenen, staatlich geförderten Hackergruppe APT10 und konzentriert sich dabei auf japanische Einrichtungen wie das Außen- und Verteidigungsministerium des Landes sowie die Raumfahrtbehörde des Landes, Politiker, Journalisten, private Unternehmen und Think Tanks.
MirrorFace nutzt nun die frühere Backdoor Anel (auch bekannt als Uppercut) von APT10 sowie eine angepasste Version von AsyncRAT. Die Angriffe begannen mit sorgfältig erstellten Spearphishing-E-Mails mit schädlichen Anhängen.
Die Verwendung von Anel untermauert die Hypothese, dass MirrorFace eine Untergruppe von APT10 ist, da die Hintertür exklusiv dieser vom chinesischen Staat geförderten Gruppe vorbehalten ist, merkt ESET an.
Im Rahmen der zwischen Juni und September 2024 beobachteten Angriffe setzte MirrorFace auch eine angepasste Variante von AsyncRAT ein, nutzte eine komplexe Ausführungskette, um es in der Windows-Sandbox auszuführen, und verwendete VS Code für seine Remote-Tunnel-Funktion für heimlichen Zugriff und Codeausführung.
Während die Hackergruppe in der Anfangsphase der Angriffe Anel nutzte, setzte sie später auch ihre Flaggschiff-Backdoor HiddenFace ein, um die Persistenz auf den infizierten Systemen weiter zu erhöhen. Im Jahr 2024 nutzte die Gruppe die LodeInfo-Backdoor jedoch nicht.
Im Juni 2024 zielte die APT auf zwei Mitarbeiter eines japanischen Forschungsinstituts ab. Dabei nutzte sie eine signierte McAfee-Programmdatei, um Anel zu laden. Im August griff die Gruppe ein mitteleuropäisches diplomatisches Institut mit einem bösartigen OneDrive-Link an, der zu einer Anel-Infektion führte.
Zu den weiteren bei diesen Angriffen verwendeten Tools und Schadsoftware zählen Anelldr (ein Anel-Loader), HiddenFace (Hintertür), FaceXInjector (HiddenFace-Loader), AsyncRAT (wird mithilfe mehrerer Dateien bereitgestellt und in der Windows-Sandbox ausgeführt, die manuell aktiviert wird und einen Neustart erfordert) und Hidden Start (ein Tool zum Umgehen der Benutzerkontensteuerung).
Im Rahmen des Angriffs auf das Diplomatische Institut stahl MirrorFace Daten von einem System (darunter Kontaktinformationen, AutoFill-Daten, Schlüsselwörter und gespeicherte Kreditkarteninformationen von Chrome) und richtete auf einem zweiten System verschiedene Tools ein, um tieferen Netzwerkzugriff zu erhalten.
(Bild: Uncoder-AI_MirrorFace-APT)