TOKIO / MÜNCHEN (IT BOLTWISE) – Seit 2019 wird Japan von einer hartnäckigen Cyberangriffskampagne heimgesucht, die von der China-verbundenen Bedrohungsgruppe MirrorFace orchestriert wird. Diese Angriffe zielen darauf ab, Informationen über die nationale Sicherheit und fortschrittliche Technologien Japans zu stehlen. Die japanische Nationale Polizeibehörde und das Nationale Zentrum für Vorfallbereitschaft und Strategie für Cybersicherheit haben diese Bedrohung identifiziert und analysiert.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die Bedrohungsgruppe MirrorFace, auch bekannt als Earth Kasha, wird als Untergruppe innerhalb der berüchtigten APT10 angesehen. Diese Gruppe hat sich auf gezielte Angriffe gegen japanische Organisationen spezialisiert und nutzt dabei Werkzeuge wie ANEL, LODEINFO und NOOPDOOR, um ihre Ziele zu erreichen. Besonders besorgniserregend ist die systematische Vorgehensweise, mit der MirrorFace seit Jahren japanische Unternehmen, Regierungsstellen und Einzelpersonen ins Visier nimmt.
Im vergangenen Monat enthüllte ein führendes Sicherheitsunternehmen Details zu einer Spear-Phishing-Kampagne, die darauf abzielte, ANEL und NOOPDOOR an japanische Ziele zu liefern. Diese Kampagne ist nur eine von vielen, die in den letzten Jahren auch gegen Taiwan und Indien gerichtet waren. Die japanischen Behörden haben die Angriffe von MirrorFace in drei Hauptkampagnen kategorisiert, die jeweils unterschiedliche Sektoren und Methoden betreffen.
Kampagne A, die von Dezember 2019 bis Juli 2023 lief, richtete sich gegen Denkfabriken, Regierungen, Politiker und Medienorganisationen. Hierbei wurden Spear-Phishing-E-Mails verwendet, um LODEINFO, NOOPDOOR und LilimRAT zu verbreiten. Kampagne B, die von Februar bis Oktober 2023 stattfand, zielte auf die Halbleiter-, Fertigungs-, Kommunikations-, akademischen und Luft- und Raumfahrtsektoren ab. Dabei wurden bekannte Schwachstellen in internetfähigen Geräten von Array Networks, Citrix und Fortinet ausgenutzt, um Netzwerke zu infiltrieren und Cobalt Strike Beacon, LODEINFO und NOOPDOOR zu verbreiten.
Die jüngste Kampagne C, die im Juni 2024 begann, konzentriert sich auf die akademische Welt, Denkfabriken, Politiker und Medienorganisationen. Hierbei werden erneut Spear-Phishing-E-Mails eingesetzt, um ANEL zu verbreiten. Ein bemerkenswertes Merkmal dieser Angriffe ist die Nutzung von Visual Studio Code Remote Tunnels, um verdeckte Verbindungen herzustellen und so die Netzwerksicherheitsmaßnahmen zu umgehen.
Die Angreifer nutzen auch die Windows Sandbox, um bösartige Nutzlasten auszuführen, ohne von Antivirensoftware oder EDR auf dem Host-Computer überwacht zu werden. Diese Methode ermöglicht es, Spuren zu verwischen, da die Sandbox beim Herunterfahren oder Neustarten des Computers gelöscht wird. Diese ausgeklügelten Techniken zeigen die Raffinesse und Hartnäckigkeit der Angreifer, die darauf abzielen, ihre Spuren zu verwischen und die Erkennung zu vermeiden.
Die japanischen Behörden arbeiten eng mit internationalen Partnern zusammen, um diese Bedrohung zu bekämpfen und die betroffenen Systeme zu sichern. Die Angriffe von MirrorFace unterstreichen die Notwendigkeit verstärkter Cybersicherheitsmaßnahmen und internationaler Zusammenarbeit, um solche Bedrohungen zu identifizieren und abzuwehren.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Cyberangriffe auf Japan: MirrorFace nutzt ANEL und NOOPDOOR".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Cyberangriffe auf Japan: MirrorFace nutzt ANEL und NOOPDOOR" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Cyberangriffe auf Japan: MirrorFace nutzt ANEL und NOOPDOOR" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.