Daggerfly APT Group

A Daggerfly néven ismert, Pekinghez kötődő, államilag támogatott hackercsoport Tajvanon és egy Kínában működő amerikai nem kormányzati szervezetet (NGO) vett célba. Ezekben a támadásokban a rosszindulatú programok továbbfejlesztett készletét alkalmazták. Ez a kampány azt jelzi, hogy a csoport belső kémkedést is folytat. A civil szervezet elleni támadás során a hackerek egy Apache HTTP-szerver egy sebezhetőségét használták ki, hogy telepítsék MgBot kártevőjüket.

A Daggerfly APT (Advanced Persistent Threat) csoport fenyegető arzenálja

A Daggerfly, más néven Bronze Highland és Evasive Panda, 2012 óta használja az MgBot moduláris kártevő-keretrendszert az afrikai távközlési szolgáltatókat célzó információgyűjtési műveletekhez. A csoport az észlelésekre válaszul gyorsan frissíti eszköztárát, lehetővé téve az minimális fennakadással folytatja kémtevékenységét.

A legújabb támadások egy új, az MgBot-ból származó rosszindulatú programcsaládot és a MACMA továbbfejlesztett verzióját érintik, egy macOS-es kártevőt először 2021 novemberében azonosítottak. A MACMA-t eredetileg a Safari sebezhetőségeit kihasználó támadások révén terjesztették hongkongi felhasználók megcélzása érdekében.

Ez jelzi a MACMA első explicit kapcsolatát egy adott hackercsoporttal, felfedve, hogy képes érzékeny információk begyűjtésére és tetszőleges parancsok végrehajtására. A bizonyítékok arra utalnak, hogy a MACMA készítői újra felhasználhatták az ELF/Android fejlesztőktől származó kódot, potenciálisan Android-eszközöket is megcélozva.

A MACMA társítását a Daggerfly-vel tovább támasztják a forráskód átfedései az MgBot-tal, valamint az a tény, hogy kommunikál egy Command-and-Control (C2) szerverrel (103.243.212.98), amelyet egy MgBot dropper is használ.

A Daggerfly által használt további rosszindulatú programok

Egy másik kiegészítés a csoport arzenáljába a Nightdoor (más néven NetMM és Suzafk). Ez az implantátum a Google Drive API for Command-and-Control (C2) alkalmazását használja, és legalább 2023 szeptembere óta használják a tibeti felhasználókat megcélzó támadásokban. Ezt a tevékenységet először márciusban dokumentálták.

A csoport bebizonyította, hogy képes eszközeinek verzióit kifejleszteni a főbb operációs rendszerek számára. A kutatók bizonyítékokat figyeltek meg trójai Android APK-król, SMS-lehallgató eszközökről, DNS-kérés-elfogó eszközökről és a Solaris OS-t célzó rosszindulatú programokról.

Hogyan védheti meg eszközeit a rosszindulatú programokkal szemben?

Az eszközök rosszindulatú fenyegetésekkel szembeni védelme sokoldalú megközelítést igényel, amely ötvözi a technológiát, a legjobb gyakorlatokat és a felhasználói éberséget. Íme a legjobb intézkedések, amelyeket a felhasználóknak meg kell tenniük eszközeik védelme érdekében:

• Kártevő-elhárító szoftver telepítése és rendszeres frissítése : Használjon jó hírű biztonsági szoftvert a rosszindulatú programok észlelésére és eltávolítására, biztosítva, hogy azok mindig a lehető legfrissebbek legyenek a legújabb fenyegetések elleni védelem érdekében. Ezenkívül engedélyezze a valós idejű vizsgálatot a fájlok és letöltések folyamatos elérése érdekében.
• Az operációs rendszer és a szoftver frissítése : Engedélyezze az operációs rendszer, a böngészők és az alkalmazások automatikus frissítését, hogy azonnal megkapja a legújabb biztonsági javításokat. Ha az automatikus frissítések nem érhetők el, a biztonság megőrzése érdekében rendszeresen ellenőrizze és telepítse azokat manuálisan.
• Tűzfalak használata : Győződjön meg arról, hogy az operációs rendszer beépített tűzfala aktív, hogy megakadályozza a jogosulatlan hozzáférést. További védelem érdekében, különösen otthoni vagy üzleti hálózatokon, fontolja meg hardveres tűzfal használatát.
• Gyakorolja a biztonságos böngészési szokásokat : Kerülje a megbízhatatlannak tűnő vagy megkérdőjelezhető tartalmú webhelyek felkeresését. Töltsön le szoftvereket megbízható és hivatalos forrásokból, és ne kattintson az előugró ablakokra vagy az ingyenes letöltést kínáló hirdetésekre a rosszindulatú programok kockázatának minimalizálása érdekében.
• Használjon erős jelszavakat és kéttényezős hitelesítést (2FA) : Mindig használjon kellően erős jelszavakat a különböző fiókokhoz, és rendszeresen módosítsa azokat. Engedélyezze a 2FA-nak egy másik biztonsági réteget, ami bonyolultabbá teszi a potenciális hackerek hozzáférését.
• Legyen óvatos az e-mailekkel és a mellékletekkel : Legyen éber az adathalász e-mailekkel kapcsolatban, amelyek célja, hogy személyes adatok közzétételére vagy rosszindulatú programok letöltésére csaljanak ki. Ne érjen hozzá az e-mail mellékletekhez, és ne kattintson az ismeretlen vagy gyanús forrásból származó hivatkozásokra.
• Adatok rendszeres biztonsági mentése : Rendszeresen készítsen biztonsági másolatot a fontos adatokról egy külső merevlemezre vagy egy felhőszolgáltatásra, így biztosítva, hogy kártevő támadás esetén helyreállítsa az információkat. Rendszeresen győződjön meg arról, hogy a biztonsági mentések elkészültek, és sikeresen visszaállíthatók.
• Használjon hirdetésblokkolókat és nyomkövető eszközöket : Telepítsen hirdetésblokkolókat, hogy csökkentse a csalárd hirdetésekkel való találkozás kockázatát. Ezenkívül használjon olyan böngészőbővítményeket, amelyek blokkolják a nyomkövetési szkripteket, hogy megvédjék böngészési adatait az összegyűjtéstől.
• Biztonságos hálózat : Módosítsa az összes alapértelmezett felhasználónevet és jelszót az útválasztón és más hálózati eszközökön. Használjon erős titkosítást (WPA3 vagy WPA2) a Wi-Fi hálózathoz, és tiltsa le a WPS-t a biztonság fokozása érdekében.
• Saját és mások oktatása : Legyen tájékozott a legújabb biztonsági fenyegetésekről és a legjobb gyakorlatokról. Tájékoztassa családtagjait vagy alkalmazottait a biztonságos online viselkedésről és a lehetséges fenyegetésekről, hogy mindenki tudatában legyen és éber legyen.

Ha ezeket az intézkedéseket minden eszközre integrálják, a felhasználók valószínűleg csökkentik a rosszindulatú programok fertőzésének kockázatát, és jelentősen javítják az általános biztonságot.