گروه APT Daggerfly

یک گروه هکری وابسته به دولت پکن که به نام Daggerfly شناخته می شود، سازمان هایی در تایوان و یک سازمان غیردولتی ایالات متحده (NGO) فعال در چین را هدف قرار داده است. آنها از مجموعه پیشرفته ای از ابزارهای بدافزار در این حملات استفاده کرده اند. این کمپین نشان می دهد که این گروه جاسوسی داخلی نیز انجام می دهد. در طول حمله به NGO، هکرها از یک آسیب پذیری در سرور HTTP آپاچی برای استقرار بدافزار MgBot خود سوء استفاده کردند.

زرادخانه تهدید کننده گروه Daggerfly APT (تهدید مداوم پیشرفته)

Daggerfly که با نام‌های Bronze Highland و Evasive Panda نیز شناخته می‌شود، از چارچوب بدافزار مدولار MgBot برای عملیات جمع‌آوری اطلاعات با هدف قرار دادن ارائه‌دهندگان خدمات مخابراتی در آفریقا استفاده می‌کند. این گروه در به‌روزرسانی سریع مجموعه ابزار خود در پاسخ به شناسایی مهارت دارد و به آن اجازه می‌دهد تا فعالیت های جاسوسی خود را با کمترین اختلال ادامه دهد.

آخرین حملات شامل یک خانواده بدافزار جدید برگرفته از MgBot و نسخه پیشرفته MACMA ، بدافزار macOS است که برای اولین بار در نوامبر 2021 شناسایی شد. MACMA در ابتدا از طریق حملات watering hole با سوء استفاده از آسیب پذیری ها در Safari برای هدف قرار دادن کاربران در هنگ کنگ توزیع شد.

این اولین اتصال صریح MACMA به یک گروه هک خاص است که توانایی آن را در جمع آوری اطلاعات حساس و اجرای دستورات دلخواه نشان می دهد. شواهد نشان می‌دهد که سازندگان MACMA ممکن است از کدهای توسعه‌دهندگان ELF/Android استفاده مجدد کرده باشند و احتمالاً دستگاه‌های Android را نیز هدف قرار داده‌اند.

ارتباط MACMA با Daggerfly بیشتر توسط همپوشانی در کد منبع با MgBot و این واقعیت که با یک سرور Command-and-Control (C2) (103.243.212.98) که توسط یک قطره چکان MgBot نیز استفاده می شود ارتباط برقرار می کند، پشتیبانی می شود.

تهدیدات بدافزار اضافی مورد استفاده توسط Daggerfly

یکی دیگر از موارد اضافه شده به زرادخانه گروه، Nightdoor (همچنین با نام های NetMM و Suzafk شناخته می شود) است. این ایمپلنت از Google Drive API برای Command-and-Control (C2) استفاده می کند و حداقل از سپتامبر 2023 در حملات حفره آبی که کاربران تبتی را هدف قرار می دهند، استفاده شده است. این فعالیت برای اولین بار در مارس ثبت شد.

این گروه توانایی توسعه نسخه هایی از ابزارهای خود را برای سیستم عامل های اصلی نشان داده است. محققان شواهدی از تروجان‌سازی APKهای اندروید، ابزارهای رهگیری پیامک، ابزارهای رهگیری درخواست DNS و بدافزارهایی را که سیستم عامل Solaris را هدف قرار می‌دهند، مشاهده کرده‌اند.

چگونه از دستگاه های خود در برابر تهدیدات بدافزار محافظت کنیم؟

محافظت از دستگاه ها در برابر تهدیدات بدافزار نیازمند رویکردی چندوجهی است که ترکیبی از فناوری، بهترین شیوه ها و هوشیاری کاربر است. در اینجا بهترین اقداماتی است که کاربران باید برای محافظت از دستگاه خود انجام دهند:

• نصب و به‌روزرسانی منظم نرم‌افزار ضد بدافزار : از نرم‌افزار امنیتی معتبر برای شناسایی و حذف بدافزار استفاده کنید، و مطمئن شوید که همیشه تا حد امکان به‌روز است تا در برابر آخرین تهدیدات محافظت شود. علاوه بر این، اسکن بلادرنگ را برای نظارت بر فایل‌ها و دانلودها در صورت دسترسی مداوم به آنها فعال کنید.
• سیستم عامل و نرم افزار را به روز نگه دارید : به روز رسانی خودکار سیستم عامل، مرورگرها و برنامه های خود را فعال کنید تا آخرین وصله های امنیتی را به سرعت دریافت کنید. اگر به‌روزرسانی‌های خودکار در دسترس نیستند، برای حفظ امنیت، مرتباً آنها را به صورت دستی بررسی و نصب کنید.
• از فایروال ها استفاده کنید : مطمئن شوید که فایروال داخلی سیستم عامل شما فعال است تا دسترسی غیرمجاز را مسدود کند. برای محافظت بیشتر، به خصوص در شبکه های خانگی یا تجاری، از فایروال سخت افزاری استفاده کنید.
• عادات مرور ایمن را تمرین کنید : از بازدید از وب سایت هایی که غیرقابل اعتماد به نظر می رسند یا محتوای مشکوک دارند خودداری کنید. نرم افزار را از منابع معتبر و رسمی دانلود کنید و از کلیک بر روی پاپ آپ ها یا تبلیغاتی که دانلود رایگان ارائه می دهند خودداری کنید تا خطر بدافزار را به حداقل برسانید.
• از رمزهای عبور قوی و احراز هویت دو مرحله ای (2FA) استفاده کنید : همیشه از رمزهای عبور به اندازه کافی قوی برای حساب های مختلف استفاده کنید و مرتباً آنها را تغییر دهید. 2FA را فعال کنید تا یک لایه امنیتی دیگر داشته باشد که دسترسی هکرهای احتمالی را پیچیده تر می کند.
• در مورد ایمیل ها و پیوست ها محتاط باشید : در مورد ایمیل های فیشینگ که برای فریب شما برای افشای اطلاعات شخصی یا دانلود بدافزار طراحی شده اند، هوشیار باشید. به پیوست های ایمیل دسترسی نداشته باشید یا روی پیوندهای منابع ناشناس یا مشکوک کلیک نکنید.
• پشتیبان‌گیری منظم از داده‌ها : به طور منظم از داده‌های مهم در یک هارد دیسک خارجی یا یک سرویس ابری نسخه پشتیبان تهیه کنید تا اطمینان حاصل شود که در صورت حمله بدافزار می‌توانید اطلاعات را بازیابی کنید. به صورت دوره‌ای، مطمئن شوید که پشتیبان‌گیری‌های شما کامل است و می‌توان آن را با موفقیت بازیابی کرد.
• از مسدودکننده‌های تبلیغات و ابزارهای ضد ردیابی استفاده کنید : مسدودکننده‌های تبلیغاتی را نصب کنید تا خطر مواجهه با تبلیغات تقلبی را کاهش دهید. علاوه بر این، از برنامه‌های افزودنی مرورگر استفاده کنید که اسکریپت‌های ردیابی را مسدود می‌کنند تا از جمع‌آوری داده‌های مرور شما محافظت کنند.
• شبکه خود را ایمن کنید : همه نام‌های کاربری و رمزهای عبور پیش‌فرض را در روتر و سایر دستگاه‌های شبکه تغییر دهید. از رمزگذاری قوی (WPA3 یا WPA2) برای شبکه Wi-Fi خود استفاده کنید و WPS را برای افزایش امنیت غیرفعال کنید.
• خود و دیگران را آموزش دهید : از آخرین تهدیدات امنیتی و بهترین شیوه ها مطلع باشید. به اعضای خانواده یا کارمندان در مورد رفتارهای آنلاین امن و تهدیدات احتمالی آموزش دهید تا مطمئن شوید که همه آگاه و هوشیار هستند.

با ادغام این اقدامات در همه دستگاه‌ها، کاربران احتمالاً خطر ابتلا به بدافزار را کاهش می‌دهند و امنیت کلی را به میزان قابل توجهی افزایش می‌دهند.