Daggerfly APT Group

Pekingiin liittyvä valtion tukema Daggerfly-niminen hakkerointiryhmä on kohdistanut kohteen Taiwanissa ja yhdysvaltalaiseen kansalaisjärjestöön (NGO), joka toimii Kiinassa. He ovat käyttäneet näissä hyökkäyksissä parannettua valikoimaa haittaohjelmatyökaluja. Tämä kampanja osoittaa, että ryhmä harjoittaa myös sisäistä vakoilua. Kansalaisjärjestöön kohdistuneen hyökkäyksen aikana hakkerit käyttivät hyväkseen Apache HTTP -palvelimen haavoittuvuutta ottaakseen käyttöön MgBot -haittaohjelmansa.

Daggerfly APT (Advanced Persistent Threat) -ryhmän uhkaava arsenaali

Daggerfly, joka tunnetaan myös nimellä Bronze Highland ja Evasive Panda, on käyttänyt MgBot-haittaohjelmakehystä tiedonkeruuoperaatioissa, jotka on kohdistettu tietoliikennepalveluntarjoajille Afrikassa vuodesta 2012 lähtien. Ryhmä on taitava päivittämään työkalusarjansa nopeasti vastauksena havaitsemiseen, mikä mahdollistaa sen jatkaa vakoilutoimintaansa mahdollisimman vähäisin häiriöin.

Viimeisimmät hyökkäykset koskevat MgBotista johdettua uutta haittaohjelmaperhettä ja parannettua versiota MACMA:sta , macOS-haittaohjelmasta, joka tunnistettiin ensimmäisen kerran marraskuussa 2021. MACMA:a levitettiin alun perin hyökkäyksillä, joissa hyödynnettiin Safarin haavoittuvuuksia Hongkongissa oleville käyttäjille.

Tämä merkitsee MACMA:n ensimmäistä eksplisiittistä yhteyttä tiettyyn hakkerointiryhmään, mikä paljastaa sen kyvyn kerätä arkaluonteisia tietoja ja suorittaa mielivaltaisia komentoja. Todisteet viittaavat siihen, että MACMA:n luojat ovat saattaneet käyttää uudelleen ELF-/Android-kehittäjien koodia, mikä on mahdollisesti kohdistettu myös Android-laitteisiin.

MACMA:n yhteyttä Daggerflyyn tukee lisäksi päällekkäisyys lähdekoodissa MgBotin kanssa ja se, että se kommunikoi Command-and-Control (C2) -palvelimen (103.243.212.98) kanssa, jota myös MgBot dropper käyttää.

Daggerflyn käyttämät lisähaittaohjelmauhat

Toinen lisäys ryhmän arsenaaliin on Nightdoor (tunnetaan myös nimellä NetMM ja Suzafk). Tämä implantti hyödyntää Google Drive API for Command-and-Control (C2) -sovellusta, ja sitä on käytetty tiibetiläisiin käyttäjiin kohdistetuissa hyökkäyksissä ainakin syyskuusta 2023 lähtien. Tämä toiminta dokumentoitiin ensimmäisen kerran maaliskuussa.

Ryhmä on osoittanut kykynsä kehittää työkaluistaan versioita suurille käyttöjärjestelmille. Tutkijat ovat havainneet todisteita troijalaisista Android APK:ista, tekstiviestien sieppaustyökaluista, DNS-pyyntöjen sieppaustyökaluista ja haittaohjelmista, jotka kohdistuvat Solaris-käyttöjärjestelmään.

Kuinka suojata laitteesi haittaohjelmauhkilta?

Laitteiden suojaaminen haittaohjelmauhilta vaatii monipuolista lähestymistapaa, jossa yhdistyvät teknologia, parhaat käytännöt ja käyttäjien valppaus. Tässä on parhaat toimenpiteet, joita käyttäjien tulee toteuttaa laitteidensa suojaamiseksi:

• Asenna ja päivitä säännöllisesti haittaohjelmien torjuntaohjelmisto : Käytä hyvämaineisia tietoturvaohjelmistoja haittaohjelmien havaitsemiseen ja poistamiseen varmistaen, että se on aina mahdollisimman ajan tasalla suojautuaksesi uusimpia uhkia vastaan. Ota lisäksi käyttöön reaaliaikainen tarkistus, jotta voit seurata tiedostoja ja latauksia, kun niitä käytetään jatkuvasti.
• Pidä käyttöjärjestelmät ja ohjelmistot päivitettyinä : Ota käyttöön käyttöjärjestelmän, selaimien ja sovellusten automaattiset päivitykset saadaksesi uusimmat tietoturvakorjaukset nopeasti. Jos automaattiset päivitykset eivät ole käytettävissä, tarkista ja asenna ne säännöllisesti manuaalisesti turvallisuuden ylläpitämiseksi.
• Käytä palomuureja : Varmista, että käyttöjärjestelmäsi sisäänrakennettu palomuuri on aktiivinen luvattoman käytön estämiseksi. Harkitse laitteistopalomuurin käyttöä lisäsuojan saamiseksi erityisesti koti- tai yritysverkoissa.
• Harjoittele selaussuojatottumuksia : Vältä vierailemasta verkkosivustoilla, jotka vaikuttavat epäluotettavilta tai joiden sisältö on kyseenalaista. Lataa ohjelmistot hyvämaineisista ja virallisista lähteistä ja vältä ponnahdusikkunoiden tai ilmaisia latauksia tarjoavien mainosten napsauttamista haittaohjelmien riskin minimoimiseksi.
• Käytä vahvoja salasanoja ja kaksivaiheista todennusta (2FA) : Käytä aina riittävän vahvoja salasanoja eri tileille ja vaihda ne säännöllisesti. Ota käyttöön 2FA:lla toinen suojakerros, mikä vaikeuttaa mahdollisten hakkereiden pääsyä.
• Ole varovainen sähköpostien ja liitteiden kanssa : Ole valppaana tietojenkalasteluviesteissä, joiden tarkoituksena on huijata sinua paljastamaan henkilökohtaisia tietoja tai lataamaan haittaohjelmia. Älä käytä sähköpostin liitteitä tai napsauta tuntemattomista tai epäilyttävistä lähteistä peräisin olevia linkkejä.
• Varmuuskopioi tiedot säännöllisesti : Varmuuskopioi säännöllisesti tärkeät tiedot ulkoiselle kiintolevylle tai pilvipalveluun, jotta voit palauttaa tiedot haittaohjelmahyökkäyksen sattuessa. Varmista säännöllisesti, että varmuuskopiot ovat valmiit ja että ne voidaan palauttaa onnistuneesti.
• Käytä mainosten esto- ja seurantatyökaluja : Asenna mainosten estolaitteita vähentääksesi petollisten mainosten kohtaamisen riskiä. Käytä lisäksi selainlaajennuksia, jotka estävät seurantakomentosarjat suojataksesi selaustietojasi keräämiseltä.
• Suojaa verkkosi : Muuta kaikki oletuskäyttäjänimet ja salasanat reitittimessäsi ja muissa verkkolaitteissasi. Käytä vahvaa salausta (WPA3 tai WPA2) Wi-Fi-verkossasi ja poista WPS käytöstä turvallisuuden parantamiseksi.
• Kouluta itseäsi ja muita : Pysy ajan tasalla uusimmista tietoturvauhkista ja parhaista käytännöistä. Kouluta perheenjäseniä tai työntekijöitä turvallisesta verkkokäyttäytymisestä ja mahdollisista uhista varmistaaksesi, että kaikki ovat tietoisia ja valppaita.

Integroimalla nämä toimenpiteet kaikkiin laitteisiin käyttäjät todennäköisesti vähentävät haittaohjelmatartuntojen riskiä ja parantavat yleistä tietoturvaa merkittävästi.