Čínsky hovoriaca hackerská skupina zaútočila na japonských politikov krátko pred voľbami, nasadila na nich špionážny malvér

• ackerská skupina MirrorFace spustila v júni 2022 kybernetickú operáciu LiberalFace, ktorá zacielila na japonských politikov.
• Vybraným cieľom rozposlala spearphishingové správy, ktoré obsahovali vlajkový backdoor tejto skupiny – LODEINFO.
• Backdoor LODEINFO bol použitý na nasadenie ďalšieho malvéu a krádež citlivých údajov.
• Útočníci použili počas operácie doposiaľ nezdokumentovaný malvér na kradnutie prihlasovacích údajov, ktorý ESET pomenoval ako MirrorStealer
• MirrorFace je čínsky hovoriaca APT skupina, ktorá sa zameriava na firmy a organizácie v Japonsku.

Výskumníci spoločnosti ESET odhalili spearphishingovú kampaň, ktorá začala niekoľko týždňov pred júlovými voľbami do hornej komory japonského parlamentu. Útok má na svedomí APT skupina, ktorú ESET nazýva MirrorFace. Výskumníci bližšou analýzou zistili, že kampaň LiberalFace sa zamerala na členov konkrétnej japonskej politickej strany. Spearphishingové e-mailové správy obsahovali vlajkový backdoor tejto APT skupiny – LODEINFO, ktorý bol použitý na nasadenie ďalšieho malvéru, krádež prihlasovacích údajov a citlivých dokumentov a e-mailov. MirrorFace je čínsky hovoriaca APT skupina, ktorá sa zameriava na japonské ciele.

Útočníci zo skupiny MirrorFace rozposlali e-mail obetiam v prestrojení za PR oddelenie japonskej strany, pričom od politikov žiadali, aby zverejnili priložené videá na svoje sociálne siete. E-mail obsahoval presné inštrukcie ohľadom stratégie publikovania videí, ktoré mali posilniť pozíciu strany a zabezpečiť víťazstvo vo voľbách do hornej komory parlamentu. Správa bola poslaná v mene vysokopostaveného politika. Všetky spearphishingové e-maily obsahovali škodlivú prílohu, ktorá po spustení nainštalovala do zariadenia backdoor LODEINFO.

LODEINFO je backdoor z dielne skupiny MirrorFace, ktorý sa neustále vylepšuje. Jeho schopnosti zahŕňajú vyhotovovanie snímok obrazovky, zaznamenávanie stlačení klávesnice, zastavovanie procesov, vynášanie súborov, spúšťanie ďalších súborov a šifrovanie zadefinovaných súborov a priečinkov. Skupina počas útoku použila doposiaľ nezdokumentovaný malvér na krádež prihlasovacích údajov, ktorý výskumníci spoločnosti ESET pomenovali ako MirrorStealer. Dokáže kradnúť prihlasovacie údaje z rôznych aplikácií, vrátane prehliadačov a e-mailových klientov.

„Počas skúmania Operácie LiberalFace sa nám podarilo odhaliť ďalšie taktiky, techniky a procedúry skupiny MirrorFace, ako napríklad nasadenie a využitie ďalšieho malvéru a nástrojov na zbieranie a krádež citlivých údajov obetí. Taktiež sa ukázalo, že útočníci zo skupiny MirrorFace sú nedbanliví, zanechávajú po sebe stopy a robia chyby,“ uviedol Dominik Breitenbacher, výskumník spoločnosti ESET, ktorý odhalil kybernetickú kampaň.

MirrorFace je čínsky hovoriaca APT skupina, ktorá sa zameriava na firmy a organizácie v Japonsku. Aj napriek špekuláciám o prepojení na skupinu APT10 sa spoločnosti ESET nepodarilo nájsť jednoznačné dôkazy, ktoré by MirrorFace spájali s akoukoľvek známou APT skupinou. ESET ju preto skúma ako samostatnú skupinu. MirrorFace s jej vlastným malvérom LODEINFO cieli výhradne na obete v Japonsku. Na muške skupiny sa ocitli organizácie z oblasti médií, obrany, think tanky aj diplomatické či akademické inštitúcie.

Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie zistenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.

O spoločnosti ESET

Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.