Gruppo APT Daggerfly
Un gruppo di hacking sponsorizzato dallo stato, affiliato a Pechino, noto come Daggerfly, ha preso di mira organizzazioni a Taiwan e un'organizzazione non governativa (ONG) statunitense che opera in Cina. In questi attacchi hanno utilizzato una suite avanzata di strumenti malware. Questa campagna indica che il gruppo conduce anche spionaggio interno. Durante l'attacco alla ONG gli hacker hanno sfruttato una vulnerabilità in un server HTTP Apache per distribuire il loro malware MgBot .
Sommario
L’arsenale minaccioso del gruppo Daggerfly APT (Advanced Persistent Threat).
Daggerfly, noto anche come Bronze Highland ed Evasive Panda, utilizza il framework malware modulare MgBot per operazioni di raccolta di informazioni rivolte ai fornitori di servizi di telecomunicazioni in Africa dal 2012. Il gruppo è abile nell'aggiornare rapidamente il proprio set di strumenti in risposta al rilevamento, consentendogli di continuare le sue attività di spionaggio con interruzioni minime.
Gli attacchi più recenti coinvolgono una nuova famiglia di malware derivata da MgBot e una versione migliorata di MACMA , un malware per macOS identificato per la prima volta nel novembre 2021. MACMA è stato inizialmente distribuito tramite attacchi Watering Hole che sfruttavano le vulnerabilità di Safari per prendere di mira gli utenti di Hong Kong.
Ciò segna la prima connessione esplicita del MACMA a uno specifico gruppo di hacker, rivelando la sua capacità di raccogliere informazioni sensibili ed eseguire comandi arbitrari. Le prove suggeriscono che i creatori di MACMA potrebbero aver riutilizzato il codice degli sviluppatori ELF/Android, prendendo di mira potenzialmente anche i dispositivi Android.
L'associazione di MACMA con Daggerfly è ulteriormente supportata dalle sovrapposizioni nel codice sorgente con MgBot e dal fatto che comunica con un server Command-and-Control (C2) (103.243.212.98) utilizzato anche da un dropper MgBot.
Ulteriori minacce malware utilizzate da Daggerfly
Un'altra aggiunta all'arsenale del gruppo è Nightdoor (noto anche come NetMM e Suzafk). Questo impianto sfrutta l'API di Google Drive per Command-and-Control (C2) ed è stato utilizzato negli attacchi Watering Hole contro utenti tibetani almeno dal settembre 2023. Questa attività è stata documentata per la prima volta a marzo.
Il gruppo ha dimostrato la capacità di sviluppare versioni dei suoi strumenti per i principali sistemi operativi. I ricercatori hanno osservato prove di APK Android contenenti trojan, strumenti di intercettazione SMS, strumenti di intercettazione di richieste DNS e malware destinati al sistema operativo Solaris.
Come proteggere i tuoi dispositivi dalle minacce malware?
La protezione dei dispositivi dalle minacce malware richiede un approccio articolato che combini tecnologia, best practice e vigilanza degli utenti. Ecco le migliori misure che gli utenti dovrebbero implementare per salvaguardare i propri dispositivi:
- Installa e aggiorna regolarmente il software antimalware : utilizza un software di sicurezza affidabile per rilevare e rimuovere malware, assicurandoti che sia sempre il più aggiornato possibile per proteggerti dalle minacce più recenti. Inoltre, abilita la scansione in tempo reale per monitorare file e download man mano che vi si accede continuamente.
- Mantieni aggiornati i sistemi operativi e il software : attiva gli aggiornamenti automatici per il tuo sistema operativo, browser e applicazioni per ricevere tempestivamente le ultime patch di sicurezza. Se gli aggiornamenti automatici non sono accessibili, controllali regolarmente e installali manualmente per mantenere la sicurezza.
- Utilizza firewall : assicurati che il firewall integrato nel tuo sistema operativo sia attivo per bloccare l'accesso non autorizzato. Per una protezione aggiuntiva, soprattutto su reti domestiche o aziendali, prendi in considerazione l'utilizzo di un firewall hardware.
- Adottare abitudini di navigazione sicura : evitare di visitare siti Web che appaiono inaffidabili o che presentano contenuti discutibili. Scarica software da fonti affidabili e ufficiali ed evita di fare clic su popup o annunci pubblicitari che offrono download gratuiti per ridurre al minimo il rischio di malware.
- Utilizza password complesse e autenticazione a due fattori (2FA) : utilizza sempre password sufficientemente complesse per account diversi e modificale regolarmente. Abilita 2FA per avere un ulteriore livello di sicurezza, rendendo più complicato l'accesso per i potenziali hacker.
- Sii cauto con le e-mail e gli allegati : fai attenzione alle e-mail di phishing progettate per indurti con l'inganno a divulgare informazioni personali o a scaricare malware. Non accedere agli allegati e-mail né fare clic su collegamenti provenienti da fonti sconosciute o sospette.
- Effettua regolarmente il backup dei dati : esegui regolarmente il backup dei dati importanti su un disco rigido esterno o su un servizio cloud, assicurandoti di poter recuperare le informazioni in caso di attacco malware. Periodicamente, assicurati che i backup siano completi e possano essere ripristinati con successo.
- Utilizza i blocchi degli annunci e gli strumenti anti-tracciamento : installa i blocchi degli annunci per ridurre il rischio di imbattersi in annunci fraudolenti. Inoltre, utilizza le estensioni del browser che bloccano gli script di tracciamento per proteggere i tuoi dati di navigazione dalla raccolta.
- Proteggi la tua rete : modifica tutti i nomi utente e le password predefiniti sul router e sugli altri dispositivi di rete. Utilizza una crittografia avanzata (WPA3 o WPA2) per la tua rete Wi-Fi e disattiva WPS per migliorare la sicurezza.
- Informa te stesso e gli altri : tieniti informato sulle ultime minacce alla sicurezza e sulle migliori pratiche. Educare i familiari o i dipendenti sui comportamenti online sicuri e sulle potenziali minacce per garantire che tutti siano consapevoli e vigili.
Integrando queste misure su tutti i dispositivi, è probabile che gli utenti riducano il rischio di infezioni da malware e migliorino in modo significativo la sicurezza generale.
