Daggerfly APT Group

Свързана с Пекин държавно спонсорирана хакерска група, известна като Daggerfly, е атакувала организации в Тайван и американска неправителствена организация (НПО), действаща в Китай. Те са използвали подобрен набор от инструменти за зловреден софтуер при тези атаки. Тази кампания показва, че групата извършва и вътрешен шпионаж. По време на атаката срещу неправителствената организация, хакерите са използвали уязвимост в HTTP сървър на Apache, за да внедрят своя зловреден софтуер MgBot .

Заплашителният арсенал на групата Daggerfly APT (Advanced Persistent Threat).

Daggerfly, известна още като Bronze Highland и Evasive Panda, използва модулната рамка за злонамерен софтуер MgBot за операции по събиране на разузнавателна информация, насочени към доставчици на телекомуникационни услуги в Африка от 2012 г. насам. Групата е опитна в бързото актуализиране на своя набор от инструменти в отговор на откриването, което й позволява да да продължи своите шпионски дейности с минимални прекъсвания.

Последните атаки включват ново семейство злонамерен софтуер, получено от MgBot и подобрена версия на MACMA , злонамерен софтуер за macOS, идентифициран за първи път през ноември 2021 г. MACMA първоначално беше разпространен чрез атаки, използващи уязвимости в Safari за насочване към потребители в Хонг Конг.

Това бележи първата изрична връзка на MACMA с конкретна хакерска група, разкривайки нейната способност да събира чувствителна информация и да изпълнява произволни команди. Доказателствата сочат, че създателите на MACMA може да са използвали повторно код от разработчици на ELF/Android, потенциално насочени и към устройства с Android.

Асоциацията на MACMA с Daggerfly се поддържа допълнително от припокриване на изходния код с MgBot и факта, че той комуникира със сървър за командване и управление (C2) (103.243.212.98), използван също от капкомер на MgBot.

Допълнителни заплахи от зловреден софтуер, използвани от Daggerfly

Друго допълнение към арсенала на групата е Nightdoor (известен също като NetMM и Suzafk). Този имплант използва приложния програмен интерфейс (API) на Google Drive за командване и управление (C2) и е използван при атаки с водопои, насочени към тибетски потребители поне от септември 2023 г. Тази дейност е документирана за първи път през март.

Групата демонстрира способността да разработва версии на своите инструменти за основни операционни системи. Изследователите са наблюдавали доказателства за троянизирани Android APK, инструменти за прихващане на SMS, инструменти за прихващане на DNS заявки и зловреден софтуер, насочен към Solaris OS.

Как да предпазите устройствата си от заплахи от зловреден софтуер?

Защитата на устройствата от заплахи от зловреден софтуер изисква многостранен подход, който комбинира технология, най-добри практики и бдителност на потребителите. Ето най-добрите мерки, които потребителите трябва да прилагат, за да защитят своите устройства:

• Инсталирайте и редовно актуализирайте софтуера против злонамерен софтуер : Използвайте уважаван софтуер за сигурност, за да откриете и премахнете злонамерен софтуер, като се уверите, че винаги е възможно най-актуален, за да се предпазите от най-новите заплахи. Освен това активирайте сканиране в реално време, за да наблюдавате файловете и изтеглянията, тъй като те са достъпни непрекъснато.
• Поддържайте актуализирани операционни системи и софтуер : Активирайте автоматичните актуализации за вашата операционна система, браузъри и приложения, за да получавате незабавно най-новите корекции за сигурност. Ако автоматичните актуализации не са достъпни, редовно ги проверявайте и инсталирайте ръчно, за да поддържате сигурността.
• Използвайте защитни стени : Уверете се, че вградената защитна стена на вашата операционна система е активна, за да блокира неоторизиран достъп. За допълнителна защита, особено в домашни или бизнес мрежи, обмислете използването на хардуерна защитна стена.
• Практикувайте навици за безопасно сърфиране : Избягвайте да посещавате уебсайтове, които изглеждат ненадеждни или имат съмнително съдържание. Изтеглете софтуер от реномирани и официални източници и избягвайте да щракате върху изскачащи прозорци или реклами, предлагащи безплатно изтегляне, за да минимизирате риска от зловреден софтуер.
• Използвайте силни пароли и двуфакторно удостоверяване (2FA) : Винаги използвайте достатъчно силни пароли за различни акаунти и ги променяйте редовно. Активирайте 2FA, за да имате друг защитен слой, което прави по-сложно получаването на достъп от потенциални хакери.
• Бъдете внимателни с имейли и прикачени файлове : Бъдете бдителни за фишинг имейли, предназначени да ви подмамят да разкриете лична информация или да изтеглите зловреден софтуер. Не влизайте в прикачени файлове към имейли и не кликвайте върху връзки от неизвестни или подозрителни източници.
• Редовно архивирайте данни : Редовно архивирайте важни данни на външен твърд диск или облачна услуга, като гарантирате, че можете да възстановите информация в случай на атака на злонамерен софтуер. Периодично се уверявайте, че вашите резервни копия са завършени и могат да бъдат възстановени успешно.
• Използвайте рекламни блокери и инструменти против проследяване : Инсталирайте рекламни блокери, за да намалите риска от среща с измамни реклами. Освен това използвайте разширения на браузъра, които блокират проследяващи скриптове, за да защитите вашите данни за сърфиране от събиране.
• Защитете вашата мрежа : Променете всички потребителски имена и пароли по подразбиране на вашия рутер и други мрежови устройства. Използвайте силно криптиране (WPA3 или WPA2) за вашата Wi-Fi мрежа и деактивирайте WPS, за да подобрите сигурността.
• Обучавайте себе си и другите : Бъдете информирани за най-новите заплахи за сигурността и най-добрите практики. Обучете членовете на семейството или служителите относно безопасното онлайн поведение и потенциалните заплахи, за да сте сигурни, че всички са наясно и бдителни.

Чрез интегрирането на тези мерки на всички устройства е вероятно потребителите да намалят риска от инфекции със злонамерен софтуер и значително да подобрят общата сигурност.