Daggerfly APT grupa

Ar Pekinu saistīta valsts sponsorēta hakeru grupa, kas pazīstama kā Daggerfly, ir vērsusies pret organizācijām Taivānā un pret ASV nevalstisko organizāciju (NVO), kas darbojas Ķīnā. Šajos uzbrukumos viņi ir izmantojuši uzlabotu ļaunprātīgas programmatūras rīku komplektu. Šī kampaņa norāda, ka grupējums veic arī iekšējo spiegošanu. Uzbrukuma laikā NVO hakeri izmantoja Apache HTTP servera ievainojamību, lai izvietotu savu MgBot ļaunprātīgu programmatūru.

Daggerfly APT (Advanced Persistent Threat) grupas draudošais arsenāls

Daggerfly, kas pazīstams arī kā Bronze Highland un Evasive Panda, kopš 2012. gada izmanto MgBot moduļu ļaunprogrammatūras sistēmu izlūkdatu vākšanas operācijām, kuru mērķauditorija ir telekomunikāciju pakalpojumu sniedzēji Āfrikā. Grupa ir kvalificēta, lai ātri atjauninātu savu rīku komplektu, reaģējot uz atklāšanu, ļaujot tai turpināt savas spiegošanas darbības ar minimāliem traucējumiem.

Jaunākie uzbrukumi ir saistīti ar jaunu ļaunprātīgas programmatūras saimi, kas iegūta no MgBot, un uzlaboto MACMA versiju — MacOS ļaunprātīgu programmatūru, kas pirmo reizi tika identificēta 2021. gada novembrī. Sākotnēji MACMA tika izplatīta, izmantojot Safari ievainojamības, lai mērķētu uz lietotājiem Honkongā.

Tas iezīmē pirmo nepārprotamo MACMA savienojumu ar konkrētu hakeru grupu, atklājot tās spēju iegūt sensitīvu informāciju un izpildīt patvaļīgas komandas. Pierādījumi liecina, ka MACMA veidotāji, iespējams, ir atkārtoti izmantojuši kodu no ELF/Android izstrādātājiem, potenciāli mērķējot arī uz Android ierīcēm.

MACMA saistību ar Daggerfly vēl vairāk atbalsta avota koda pārklāšanās ar MgBot un fakts, ka tas sazinās ar Command-and-Control (C2) serveri (103.243.212.98), ko izmanto arī MgBot pilinātājs.

Daggerfly izmantotie papildu ļaunprātīgas programmatūras draudi

Vēl viens grupas arsenāla papildinājums ir Nightdoor (pazīstams arī kā NetMM un Suzafk). Šis implants izmanto Google Drive API komandēšanai un kontrolei (C2), un vismaz kopš 2023. gada septembra tiek izmantots uzbrukumos Tibetas lietotājiem. Šī darbība pirmo reizi tika dokumentēta martā.

Grupa ir pierādījusi spēju izstrādāt savu rīku versijas galvenajām operētājsistēmām. Pētnieki ir novērojuši pierādījumus par trojānizētiem Android APK, SMS pārtveršanas rīkiem, DNS pieprasījumu pārtveršanas rīkiem un ļaunprātīgu programmatūru, kuras mērķauditorija ir Solaris OS.

Kā aizsargāt savas ierīces no ļaunprātīgas programmatūras draudiem?

Ierīču aizsardzībai pret ļaunprātīgas programmatūras draudiem nepieciešama daudzpusīga pieeja, kas apvieno tehnoloģijas, labāko praksi un lietotāju modrību. Tālāk ir norādīti labākie pasākumi, kas lietotājiem būtu jāveic, lai aizsargātu savas ierīces.

• Instalējiet un regulāri atjauniniet pretļaunatūras programmatūru : izmantojiet cienījamu drošības programmatūru, lai atklātu un noņemtu ļaunprātīgu programmatūru, nodrošinot, ka tā vienmēr ir pēc iespējas jaunāka, lai aizsargātu pret jaunākajiem draudiem. Turklāt iespējojiet skenēšanu reāllaikā, lai pārraudzītu failus un lejupielādes, kad tiem tiek nepārtraukti piekļūts.
• Atjauniniet operētājsistēmas un programmatūru : iespējojiet automātiskos atjauninājumus savai operētājsistēmai, pārlūkprogrammām un lietojumprogrammām, lai nekavējoties saņemtu jaunākos drošības ielāpus. Ja automātiskie atjauninājumi nav pieejami, regulāri pārbaudiet un instalējiet tos manuāli, lai saglabātu drošību.
• Izmantojiet ugunsmūrus : pārliecinieties, vai jūsu operētājsistēmas iebūvētais ugunsmūris ir aktīvs, lai bloķētu nesankcionētu piekļuvi. Lai iegūtu papildu aizsardzību, īpaši mājas vai uzņēmuma tīklos, apsveriet iespēju izmantot aparatūras ugunsmūri.
• Praktizējiet drošas pārlūkošanas ieradumus : neapmeklējiet vietnes, kas šķiet neuzticamas vai kuru saturs ir apšaubāms. Lejupielādējiet programmatūru no cienījamiem un oficiāliem avotiem un neklikšķiniet uz uznirstošajiem logiem vai reklāmām, kas piedāvā bezmaksas lejupielādi, lai samazinātu ļaunprātīgas programmatūras risku.
• Izmantojiet spēcīgas paroles un divu faktoru autentifikāciju (2FA) : vienmēr izmantojiet pietiekami spēcīgas paroles dažādiem kontiem un regulāri mainiet tās. Iespējojiet 2FA, lai būtu cits drošības slānis, tādējādi potenciālajiem hakeriem kļūst grūtāk piekļūt.
• Esiet piesardzīgs ar e-pastu un pielikumiem : esiet piesardzīgs attiecībā uz pikšķerēšanas e-pastiem, kuru mērķis ir maldināt jūs atklāt personas informāciju vai lejupielādēt ļaunprātīgu programmatūru. Nepiekļūstiet e-pasta pielikumiem un neklikšķiniet uz saitēm no nezināmiem vai aizdomīgiem avotiem.
• Regulāri dublējiet datus : regulāri dublējiet svarīgus datus ārējā cietajā diskā vai mākoņpakalpojumā, nodrošinot, ka varat atgūt informāciju ļaunprātīgas programmatūras uzbrukuma gadījumā. Periodiski pārliecinieties, vai jūsu dublējumkopijas ir pabeigtas un to var veiksmīgi atjaunot.
• Izmantojiet reklāmu bloķētājus un pretizsekošanas rīkus : instalējiet reklāmu bloķētājus, lai samazinātu risku sastapties ar krāpnieciskām reklāmām. Turklāt izmantojiet pārlūkprogrammas paplašinājumus, kas bloķē izsekošanas skriptus, lai aizsargātu jūsu pārlūkošanas datus no vākšanas.
• Tīkla aizsardzība : mainiet visus noklusējuma lietotājvārdus un paroles maršrutētājā un citās tīkla ierīcēs. Izmantojiet spēcīgu šifrēšanu (WPA3 vai WPA2) savam Wi-Fi tīklam un atspējojiet WPS, lai uzlabotu drošību.
• Izglītojiet sevi un citus : esiet informēts par jaunākajiem drošības apdraudējumiem un paraugpraksi. Izglītojiet ģimenes locekļus vai darbiniekus par drošu uzvedību tiešsaistē un iespējamiem draudiem, lai nodrošinātu, ka visi ir informēti un modri.

Integrējot šos pasākumus visās ierīcēs, lietotāji, visticamāk, samazinās ļaunprātīgas programmatūras inficēšanās risku un ievērojami uzlabos vispārējo drošību.