Daggerfly APT grupa

Hakerska skupina poznata kao Daggerfly, povezana s Pekingom, sponzorirana od države, ciljala je organizacije u Tajvanu i američku nevladinu organizaciju (NGO) koja djeluje u Kini. U tim su napadima upotrijebili poboljšani paket zlonamjernih alata. Ova kampanja ukazuje na to da se grupa bavi i unutarnjom špijunažom. Tijekom napada na nevladinu organizaciju, hakeri su iskoristili ranjivost u Apache HTTP poslužitelju za implementaciju svog MgBot zlonamjernog softvera.

Prijeteći arsenal skupine Daggerfly APT (Advanced Persistent Threat).

Daggerfly, također poznat kao Bronze Highland i Evasive Panda, od 2012. koristi MgBot modularni okvir zlonamjernog softvera za operacije prikupljanja obavještajnih podataka usmjerene na pružatelje telekomunikacijskih usluga u Africi. Grupa je vješta u brzom ažuriranju svog skupa alata kao odgovor na otkrivanje, što joj omogućuje nastaviti svoje špijunske aktivnosti uz minimalne smetnje.

Najnoviji napadi uključuju novu obitelj zlonamjernog softvera izvedenu iz MgBot-a i poboljšanu verziju MACMA-e , zlonamjernog softvera za macOS koji je prvi put identificiran u studenom 2021. MACMA je u početku bio distribuiran kroz napade koji iskorištavaju ranjivosti u Safariju za ciljanje korisnika u Hong Kongu.

Ovo označava prvu eksplicitnu vezu MACMA-e s određenom hakerskom skupinom, otkrivajući njegovu sposobnost sakupljanja osjetljivih informacija i izvršavanja proizvoljnih naredbi. Dokazi sugeriraju da su tvorci MACMA-e možda ponovno upotrijebili kod ELF/Android programera, potencijalno ciljajući i na Android uređaje.

MACMA-ina povezanost s Daggerflyjem dodatno je podržana preklapanjem izvornog koda s MgBotom i činjenicom da komunicira s Command-and-Control (C2) poslužiteljem (103.243.212.98) koji također koristi MgBot dropper.

Dodatne prijetnje zlonamjernim softverom koje koristi Daggerfly

Još jedan dodatak arsenalu grupe je Nightdoor (također poznat kao NetMM i Suzafk). Ovaj implantat koristi Google Drive API za Command-and-Control (C2) i koristi se u napadima na pojilište koji ciljaju tibetanske korisnike od najmanje rujna 2023. Ta je aktivnost prvi put dokumentirana u ožujku.

Grupa je pokazala sposobnost razvoja verzija svojih alata za glavne operativne sustave. Istraživači su uočili dokaze o trojaniziranim Android APK-ovima, alatima za presretanje SMS-ova, alatima za presretanje DNS zahtjeva i zlonamjernim softverom koji cilja Solaris OS.

Kako zaštititi svoje uređaje od prijetnji zlonamjernim softverom?

Zaštita uređaja od prijetnji zlonamjernim softverom zahtijeva višestruki pristup koji kombinira tehnologiju, najbolju praksu i budnost korisnika. Ovo su najbolje mjere koje bi korisnici trebali primijeniti kako bi zaštitili svoje uređaje:

• Instalirajte i redovito ažurirajte softver protiv zlonamjernog softvera : Koristite renomirani sigurnosni softver za otkrivanje i uklanjanje zlonamjernog softvera, osiguravajući da uvijek bude što je moguće ažurniji za zaštitu od najnovijih prijetnji. Osim toga, omogućite skeniranje u stvarnom vremenu za praćenje datoteka i preuzimanja dok im se kontinuirano pristupa.
• Održavajte ažurirane operativne sustave i softver : Omogućite automatska ažuriranja za svoj operativni sustav, preglednike i aplikacije kako biste odmah primili najnovije sigurnosne zakrpe. Ako automatska ažuriranja nisu dostupna, redovito ih provjeravajte i instalirajte ručno kako biste održali sigurnost.
• Koristite vatrozid : Provjerite je li ugrađeni vatrozid na vašem operativnom sustavu aktivan kako bi se blokirao neovlašteni pristup. Za dodatnu zaštitu, osobito na kućnim ili poslovnim mrežama, razmislite o korištenju hardverskog vatrozida.
• Vježbajte navike sigurnog pregledavanja : Izbjegavajte posjećivanje web stranica koje se čine nepouzdanima ili imaju sumnjiv sadržaj. Preuzmite softver iz renomiranih i službenih izvora i izbjegavajte klikanje na skočne prozore ili oglase koji nude besplatno preuzimanje kako biste smanjili rizik od zlonamjernog softvera.
• Upotrijebite jake lozinke i autentifikaciju u dva faktora (2FA) : Uvijek koristite dovoljno jake lozinke za različite račune i redovito ih mijenjajte. Omogućite 2FA da biste imali još jedan sigurnosni sloj, što potencijalnim hakerima otežava pristup.
• Budite oprezni s e-poštom i privicima : budite oprezni u vezi s phishing e-porukama koje su osmišljene da vas prevarom navedu na otkrivanje osobnih podataka ili preuzimanje zlonamjernog softvera. Nemojte pristupati privicima e-pošte niti klikati na poveznice iz nepoznatih ili sumnjivih izvora.
• Redovito sigurnosno kopiranje podataka : Redovito sigurnosno kopiranje važnih podataka na vanjski tvrdi disk ili uslugu u oblaku, osiguravajući da možete oporaviti podatke u slučaju napada zlonamjernog softvera. Povremeno provjerite jesu li sigurnosne kopije dovršene i mogu li se uspješno vratiti.
• Koristite blokatore oglasa i alate za sprječavanje praćenja : Instalirajte blokatore oglasa kako biste smanjili rizik od nailaska na lažne oglase. Osim toga, koristite proširenja preglednika koja blokiraju skripte za praćenje kako biste zaštitili svoje podatke o pregledavanju od prikupljanja.
• Osigurajte svoju mrežu : promijenite sva zadana korisnička imena i lozinke na svom usmjerivaču i drugim mrežnim uređajima. Koristite snažnu enkripciju (WPA3 ili WPA2) za svoju Wi-Fi mrežu i onemogućite WPS kako biste poboljšali sigurnost.
• Obrazujte sebe i druge : Budite informirani o najnovijim sigurnosnim prijetnjama i najboljim praksama. Obrazujte članove obitelji ili zaposlenike o sigurnom ponašanju na internetu i potencijalnim prijetnjama kako biste bili sigurni da su svi svjesni i oprezni.

Integracijom ovih mjera na svim uređajima korisnici će vjerojatno smanjiti rizik od zaraze zlonamjernim softverom i značajno poboljšati ukupnu sigurnost.