مجموعة Daggerfly APT

استهدفت مجموعة قرصنة ترعاها الدولة تابعة لبكين تُعرف باسم Daggerfly منظمات في تايوان ومنظمة غير حكومية أمريكية تعمل في الصين. لقد استخدموا مجموعة محسنة من أدوات البرامج الضارة في هذه الهجمات. وتشير هذه الحملة إلى أن المجموعة تقوم أيضًا بالتجسس الداخلي. أثناء الهجوم على المنظمة غير الحكومية، استغل المتسللون ثغرة أمنية في خادم Apache HTTP لنشر برامج MgBot الضارة الخاصة بهم.

الترسانة التهديدية لمجموعة Daggerfly APT (التهديد المستمر المتقدم).

تستخدم Daggerfly، المعروفة أيضًا باسم Bronze Highland وEvasive Panda، إطار عمل البرامج الضارة المعياري MgBot لعمليات جمع المعلومات الاستخبارية التي تستهدف مزودي خدمات الاتصالات في إفريقيا منذ عام 2012. وتتمتع المجموعة بمهارة في تحديث مجموعة أدواتها بسرعة استجابةً للاكتشاف، مما يسمح لها بـ مواصلة أنشطتها التجسسية بأقل قدر من التعطيل.

تتضمن الهجمات الأخيرة عائلة برامج ضارة جديدة مشتقة من MgBot ونسخة محسنة من MACMA ، وهو برنامج ضار لنظام التشغيل macOS تم تحديده لأول مرة في نوفمبر 2021. تم توزيع MACMA في البداية من خلال هجمات Watering Hole التي تستغل الثغرات الأمنية في Safari لاستهداف المستخدمين في هونغ كونغ.

يمثل هذا أول اتصال صريح لـ MACMA بمجموعة قرصنة محددة، مما يكشف عن قدرتها على جمع المعلومات الحساسة وتنفيذ أوامر عشوائية. تشير الأدلة إلى أن منشئي MACMA ربما أعادوا استخدام التعليمات البرمجية من مطوري ELF/Android، ومن المحتمل أن يستهدفوا أجهزة Android أيضًا.

يتم دعم ارتباط MACMA بـ Daggerfly أيضًا من خلال التداخلات في التعليمات البرمجية المصدر مع MgBot وحقيقة أنه يتواصل مع خادم القيادة والتحكم (C2) (103.243.212.98) الذي يستخدمه أيضًا قطارة MgBot.

تهديدات البرامج الضارة الإضافية التي تستخدمها Daggerfly

إضافة أخرى إلى ترسانة المجموعة هي Nightdoor (المعروف أيضًا باسم NetMM وSuzafk). تستفيد هذه الغرسة من واجهة Google Drive API للأوامر والتحكم (C2) وقد تم استخدامها في هجمات حفر المياه التي استهدفت المستخدمين التبتيين منذ سبتمبر 2023 على الأقل. وتم توثيق هذا النشاط لأول مرة في مارس.

وقد أثبتت المجموعة القدرة على تطوير إصدارات من أدواتها لأنظمة التشغيل الرئيسية. لاحظ الباحثون أدلة على وجود ملفات APK لنظام Android مصابة بفيروس طروادة، وأدوات اعتراض الرسائل القصيرة، وأدوات اعتراض طلبات DNS، والبرامج الضارة التي تستهدف نظام التشغيل Solaris OS.

كيف تحمي أجهزتك من تهديدات البرامج الضارة؟

تتطلب حماية الأجهزة من تهديدات البرامج الضارة اتباع نهج متعدد الأوجه يجمع بين التكنولوجيا وأفضل الممارسات ويقظة المستخدم. فيما يلي أفضل الإجراءات التي يجب على المستخدمين تنفيذها لحماية أجهزتهم:

• تثبيت برامج مكافحة البرامج الضارة وتحديثها بانتظام : استخدم برامج أمان حسنة السمعة لاكتشاف البرامج الضارة وإزالتها، مع التأكد من تحديثها دائمًا قدر الإمكان للحماية من أحدث التهديدات. بالإضافة إلى ذلك، قم بتمكين الفحص في الوقت الفعلي لمراقبة الملفات والتنزيلات حيث يتم الوصول إليها بشكل مستمر.
• حافظ على تحديث أنظمة التشغيل والبرامج : قم بتمكين التحديثات التلقائية لنظام التشغيل والمتصفحات والتطبيقات لديك لتلقي أحدث تصحيحات الأمان على الفور. إذا لم يكن من الممكن الوصول إلى التحديثات التلقائية، فتحقق منها بانتظام وقم بتثبيتها يدويًا للحفاظ على الأمان.
• استخدام جدران الحماية : تأكد من أن جدار الحماية المدمج في نظام التشغيل الخاص بك نشط لمنع الوصول غير المصرح به. للحصول على حماية إضافية، خاصة على الشبكات المنزلية أو التجارية، فكر في استخدام جدار حماية الأجهزة.
• ممارسة عادات التصفح الآمن : تجنب زيارة مواقع الويب التي تبدو غير جديرة بالثقة أو التي تحتوي على محتوى مشكوك فيه. قم بتنزيل البرامج من مصادر رسمية وموثوقة وتجنب النقر على النوافذ المنبثقة أو الإعلانات التي تعرض تنزيلات مجانية لتقليل مخاطر البرامج الضارة.
• استخدم كلمات مرور قوية والمصادقة الثنائية (2FA) : استخدم دائمًا كلمات مرور قوية بما فيه الكفاية لحسابات مختلفة وقم بتغييرها بانتظام. قم بتمكين المصادقة الثنائية (2FA) للحصول على طبقة أمان أخرى، مما يجعل الأمر أكثر تعقيدًا بالنسبة للمتسللين المحتملين للوصول.
• كن حذرًا بشأن البريد الإلكتروني والمرفقات : كن يقظًا بشأن رسائل البريد الإلكتروني التصيدية المصممة لخداعك للكشف عن معلومات شخصية أو تنزيل برامج ضارة. لا تصل إلى مرفقات البريد الإلكتروني أو تنقر على روابط من مصادر غير معروفة أو مشبوهة.
• النسخ الاحتياطي للبيانات بانتظام : قم بعمل نسخة احتياطية منتظمة من البيانات المهمة على محرك أقراص ثابت خارجي أو خدمة سحابية، مما يضمن إمكانية استرداد المعلومات في حالة وقوع هجوم من البرامج الضارة. بشكل دوري، تأكد من أن النسخ الاحتياطية الخاصة بك كاملة ويمكن استعادتها بنجاح.
• استخدم أدوات حظر الإعلانات وأدوات مكافحة التتبع : قم بتثبيت أدوات حظر الإعلانات لتقليل مخاطر مواجهة الإعلانات الاحتيالية. بالإضافة إلى ذلك، استخدم ملحقات المتصفح التي تحظر نصوص التتبع لحماية بيانات التصفح الخاصة بك من أن يتم جمعها.
• تأمين شبكتك : قم بتغيير جميع أسماء المستخدمين وكلمات المرور الافتراضية على جهاز التوجيه الخاص بك وأجهزة الشبكة الأخرى. استخدم التشفير القوي (WPA3 أو WPA2) لشبكة Wi-Fi الخاصة بك وقم بتعطيل WPS لتعزيز الأمان.
• تثقيف نفسك والآخرين : ابق على اطلاع بأحدث التهديدات الأمنية وأفضل الممارسات. قم بتثقيف أفراد الأسرة أو الموظفين حول السلوكيات الآمنة عبر الإنترنت والتهديدات المحتملة لضمان وعي الجميع ويقظتهم.

ومن خلال دمج هذه التدابير على جميع الأجهزة، من المرجح أن يقلل المستخدمون من مخاطر الإصابة بالبرامج الضارة ويعززوا الأمان العام بشكل كبير.