Kumpulan APT Daggerfly
Kumpulan penggodaman tajaan kerajaan yang bergabung dengan Beijing dikenali sebagai Daggerfly telah menyasarkan organisasi di Taiwan dan sebuah pertubuhan bukan kerajaan (NGO) AS yang beroperasi di China. Mereka telah menggunakan set alat perisian hasad yang dipertingkatkan dalam serangan ini. Kempen ini menunjukkan bahawa kumpulan itu juga menjalankan pengintipan dalaman. Semasa serangan ke atas NGO itu, penggodam mengeksploitasi kelemahan dalam pelayan HTTP Apache untuk menggunakan perisian hasad MgBot mereka.
Isi kandungan
Arsenal yang Mengancam Kumpulan Daggerfly APT (Advanced Persistent Threat).
Daggerfly, juga dikenali sebagai Bronze Highland dan Evasive Panda, telah menggunakan rangka kerja perisian hasad modular MgBot untuk operasi pengumpulan risikan yang menyasarkan penyedia perkhidmatan telekomunikasi di Afrika sejak 2012. Kumpulan itu mahir mengemas kini set alatannya dengan pantas sebagai tindak balas kepada pengesanan, membolehkannya untuk meneruskan aktiviti pengintipannya dengan gangguan yang minimum.
Serangan terbaharu melibatkan keluarga perisian hasad baharu yang diperoleh daripada MgBot dan versi MACMA yang dipertingkatkan, perisian hasad macOS yang mula dikenal pasti pada November 2021. MACMA pada mulanya diedarkan melalui serangan lubang air yang mengeksploitasi kelemahan dalam Safari untuk menyasarkan pengguna di Hong Kong.
Ini menandakan sambungan eksplisit pertama MACMA kepada kumpulan penggodaman tertentu, mendedahkan keupayaannya untuk menuai maklumat sensitif dan melaksanakan arahan sewenang-wenangnya. Bukti menunjukkan bahawa pencipta MACMA mungkin telah menggunakan semula kod daripada pembangun ELF/Android, yang berpotensi menyasarkan peranti Android juga.
Perkaitan MACMA dengan Daggerfly disokong lagi oleh pertindihan dalam kod sumber dengan MgBot dan hakikat bahawa ia berkomunikasi dengan pelayan Command-and-Control (C2) (103.243.212.98) juga digunakan oleh penitis MgBot.
Ancaman Malware Tambahan Digunakan oleh Daggerfly
Satu lagi tambahan kepada senjata kumpulan ialah Nightdoor (juga dikenali sebagai NetMM dan Suzafk). Implan ini memanfaatkan API Google Drive untuk Perintah-dan-Kawalan (C2) dan telah digunakan dalam serangan lubang air yang menyasarkan pengguna Tibet sejak sekurang-kurangnya September 2023. Aktiviti ini mula-mula didokumentasikan pada bulan Mac.
Kumpulan itu telah menunjukkan keupayaan untuk membangunkan versi alatannya untuk sistem pengendalian utama. Penyelidik telah memerhatikan bukti APK Android yang telah ditrojan, alat pemintasan SMS, alat pemintasan permintaan DNS dan perisian hasad yang menyasarkan OS Solaris.
Bagaimana untuk Melindungi Peranti Anda daripada Ancaman Hasad?
Melindungi peranti daripada ancaman perisian hasad memerlukan pendekatan pelbagai rupa yang menggabungkan teknologi, amalan terbaik dan kewaspadaan pengguna. Berikut ialah langkah terbaik yang harus dilaksanakan oleh pengguna untuk melindungi peranti mereka:
- Pasang dan Kemas Kini Perisian Anti-perisian hasad dengan kerap : Gunakan perisian keselamatan yang bereputasi untuk mengesan dan mengalih keluar perisian hasad, memastikan ia sentiasa terkini yang mungkin untuk melindungi daripada ancaman terkini. Selain itu, dayakan pengimbasan masa nyata untuk memantau fail dan muat turun apabila ia diakses secara berterusan.
- Teruskan Kemas Kini Sistem Pengendalian dan Perisian : Dayakan kemas kini automatik untuk sistem pengendalian, penyemak imbas dan aplikasi anda untuk menerima tampung keselamatan terkini dengan segera. Jika kemas kini automatik tidak boleh diakses, kerap semak dan pasangkannya secara manual untuk mengekalkan keselamatan.
- Gunakan Firewalls : Pastikan firewall terbina dalam pada sistem pengendalian anda aktif untuk menyekat akses tanpa kebenaran. Untuk perlindungan tambahan, terutamanya pada rangkaian rumah atau perniagaan, pertimbangkan untuk menggunakan tembok api perkakasan.
- Amalkan Tabiat Semak Imbas Selamat : Elakkan melawat tapak web yang kelihatan tidak boleh dipercayai atau mempunyai kandungan yang boleh dipersoalkan. Muat turun perisian daripada sumber yang bereputasi dan rasmi dan elakkan mengklik pada pop timbul atau iklan yang menawarkan muat turun percuma untuk meminimumkan risiko perisian hasad.
- Gunakan Kata Laluan Yang Kuat dan Pengesahan Dua Faktor (2FA) : Sentiasa gunakan kata laluan yang cukup kuat untuk akaun yang berbeza dan tukarkannya dengan kerap. Dayakan 2FA mempunyai satu lagi lapisan keselamatan, menjadikannya lebih rumit untuk bakal penggodam untuk mendapatkan akses.
- Berhati-hati dengan E-mel dan Lampiran : Berwaspada tentang e-mel pancingan data yang direka untuk menipu anda supaya mendedahkan maklumat peribadi atau memuat turun perisian hasad. Jangan akses lampiran e-mel atau klik pada pautan daripada sumber yang tidak diketahui atau mencurigakan.
- Sentiasa Sandarkan Data : Sandarkan data penting secara kerap ke pemacu keras luaran atau perkhidmatan awan, memastikan anda boleh memulihkan maklumat sekiranya berlaku serangan perisian hasad. Dari semasa ke semasa, pastikan sandaran anda lengkap dan boleh dipulihkan dengan jayanya.
- Gunakan Penyekat Iklan dan Alat Anti-penjejakan : Pasang penyekat iklan untuk mengurangkan risiko menghadapi iklan penipuan. Selain itu, gunakan sambungan penyemak imbas yang menyekat skrip penjejakan untuk melindungi data penyemakan imbas anda daripada dikumpulkan.
- Lindungi Rangkaian Anda : Tukar semua nama pengguna dan kata laluan lalai pada penghala anda dan peranti rangkaian lain. Gunakan penyulitan kuat (WPA3 atau WPA2) untuk rangkaian Wi-Fi anda dan lumpuhkan WPS untuk meningkatkan keselamatan.
- Didik Diri Anda dan Orang Lain : Kekal dimaklumkan tentang ancaman keselamatan terkini dan amalan terbaik. Didik ahli keluarga atau pekerja tentang tingkah laku dalam talian yang selamat dan potensi ancaman untuk memastikan semua orang sedar dan berwaspada.
Dengan menyepadukan langkah ini pada semua peranti, pengguna berkemungkinan mengurangkan risiko jangkitan perisian hasad dan meningkatkan keselamatan keseluruhan dengan ketara.
