- Hackerská skupina MirrorFace spustila v júni 2022 kybernetickú operáciu LiberalFace, ktorá zacielila na japonských politikov.
- Vybraným cieľom rozposlala spearphishingové správy, ktoré obsahovali vlajkový backdoor tejto skupiny – LODEINFO.
- Backdoor LODEINFO bol použitý na nasadenie ďalšieho malvéu a krádež citlivých údajov.
- Útočníci použili počas operácie doposiaľ nezdokumentovaný malvér na kradnutie prihlasovacích údajov, ktorý ESET pomenoval ako MirrorStealer
- MirrorFace je čínsky hovoriaca APT skupina, ktorá sa zameriava na firmy a organizácie v Japonsku.
Výskumníci spoločnosti ESET odhalili spearphishingovú kampaň, ktorá začala niekoľko týždňov pred júlovými voľbami do hornej komory japonského parlamentu. Útok má na svedomí APT skupina, ktorú ESET nazýva MirrorFace. Výskumníci bližšou analýzou zistili, že kampaň LiberalFace sa zamerala na členov konkrétnej japonskej politickej strany. Spearphishingové e-mailové správy obsahovali vlajkový backdoor tejto APT skupiny – LODEINFO, ktorý bol použitý na nasadenie ďalšieho malvéru, krádež prihlasovacích údajov a citlivých dokumentov a e-mailov. MirrorFace je čínsky hovoriaca APT skupina, ktorá sa zameriava na japonské ciele.
Útočníci zo skupiny MirrorFace rozposlali e-mail obetiam v prestrojení za PR oddelenie japonskej strany, pričom od politikov žiadali, aby zverejnili priložené videá na svoje sociálne siete. E-mail obsahoval presné inštrukcie ohľadom stratégie publikovania videí, ktoré mali posilniť pozíciu strany a zabezpečiť víťazstvo vo voľbách do hornej komory parlamentu. Správa bola poslaná v mene vysokopostaveného politika. Všetky spearphishingové e-maily obsahovali škodlivú prílohu, ktorá po spustení nainštalovala do zariadenia backdoor LODEINFO.
LODEINFO je backdoor z dielne skupiny MirrorFace, ktorý sa neustále vylepšuje. Jeho schopnosti zahŕňajú vyhotovovanie snímok obrazovky, zaznamenávanie stlačení klávesnice, zastavovanie procesov, vynášanie súborov, spúšťanie ďalších súborov a šifrovanie zadefinovaných súborov a priečinkov. Skupina počas útoku použila doposiaľ nezdokumentovaný malvér na krádež prihlasovacích údajov, ktorý výskumníci spoločnosti ESET pomenovali ako MirrorStealer. Dokáže kradnúť prihlasovacie údaje z rôznych aplikácií, vrátane prehliadačov a e-mailových klientov.
„Počas skúmania Operácie LiberalFace sa nám podarilo odhaliť ďalšie taktiky, techniky a procedúry skupiny MirrorFace, ako napríklad nasadenie a využitie ďalšieho malvéru a nástrojov na zbieranie a krádež citlivých údajov obetí. Taktiež sa ukázalo, že útočníci zo skupiny MirrorFace sú nedbanliví, zanechávajú po sebe stopy a robia chyby,“ uviedol Dominik Breitenbacher, výskumník spoločnosti ESET, ktorý odhalil kybernetickú kampaň.
MirrorFace je čínsky hovoriaca APT skupina, ktorá sa zameriava na firmy a organizácie v Japonsku. Aj napriek špekuláciám o prepojení na skupinu APT10 sa spoločnosti ESET nepodarilo nájsť jednoznačné dôkazy, ktoré by MirrorFace spájali s akoukoľvek známou APT skupinou. ESET ju preto skúma ako samostatnú skupinu. MirrorFace s jej vlastným malvérom LODEINFO cieli výhradne na obete v Japonsku. Na muške skupiny sa ocitli organizácie z oblasti médií, obrany, think tanky aj diplomatické či akademické inštitúcie.
Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie zistenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.
