Daggerfly APT-groep
Een aan Peking gelieerde, door de staat gesponsorde hackgroep, bekend als Daggerfly, heeft zich gericht op organisaties in Taiwan en een Amerikaanse niet-gouvernementele organisatie (NGO) die actief is in China. Ze hebben bij deze aanvallen een verbeterde reeks malwaretools gebruikt. Uit deze campagne blijkt dat de groep ook aan interne spionage doet. Tijdens de aanval op de NGO misbruikten de hackers een kwetsbaarheid in een Apache HTTP-server om hun MgBot- malware in te zetten.
Inhoudsopgave
Het dreigende arsenaal van de Daggerfly APT-groep (Advanced Persistent Threat).
Daggerfly, ook wel bekend als Bronze Highland en Evasive Panda, gebruikt sinds 2012 het modulaire malwareframework van MgBot voor het verzamelen van inlichtingen gericht op telecomproviders in Afrika. De groep is bedreven in het snel bijwerken van haar toolset als reactie op detectie, waardoor zij in staat is om zijn spionageactiviteiten met minimale verstoring voortzetten.
Bij de nieuwste aanvallen is sprake van een nieuwe malwarefamilie die is afgeleid van MgBot en een verbeterde versie van MACMA , een macOS-malware die voor het eerst werd geïdentificeerd in november 2021. MACMA werd aanvankelijk verspreid via watering hole-aanvallen waarbij gebruik werd gemaakt van kwetsbaarheden in Safari om gebruikers in Hong Kong te targeten.
Dit markeert de eerste expliciete verbinding van MACMA met een specifieke hackgroep, waarmee het vermogen wordt onthuld om gevoelige informatie te verzamelen en willekeurige opdrachten uit te voeren. Er zijn aanwijzingen dat de makers van MACMA mogelijk code van ELF/Android-ontwikkelaars hebben hergebruikt, mogelijk ook gericht op Android-apparaten.
De associatie van MACMA met Daggerfly wordt verder ondersteund door overlappingen in de broncode met MgBot en het feit dat het communiceert met een Command-and-Control (C2)-server (103.243.212.98) die ook wordt gebruikt door een MgBot-dropper.
Extra malwarebedreigingen gebruikt door Daggerfly
Een andere toevoeging aan het arsenaal van de groep is Nightdoor (ook bekend als NetMM en Suzafk). Dit implantaat maakt gebruik van de Google Drive API voor Command-and-Control (C2) en wordt sinds ten minste september 2023 gebruikt bij watergataanvallen gericht op Tibetaanse gebruikers. Deze activiteit werd voor het eerst gedocumenteerd in maart.
De groep heeft aangetoond dat het in staat is versies van zijn tools voor grote besturingssystemen te ontwikkelen. Onderzoekers hebben bewijs waargenomen van getrojaniseerde Android APK's, tools voor het onderscheppen van sms-berichten, tools voor het onderscheppen van DNS-verzoeken en malware gericht op Solaris OS.
Hoe kunt u uw apparaten beschermen tegen malwarebedreigingen?
Het beschermen van apparaten tegen malwarebedreigingen vereist een veelzijdige aanpak die technologie, best practices en waakzaamheid van de gebruiker combineert. Dit zijn de beste maatregelen die gebruikers moeten nemen om hun apparaten te beschermen:
- Anti-malwaresoftware installeren en regelmatig bijwerken : Gebruik gerenommeerde beveiligingssoftware om malware te detecteren en te verwijderen, zodat deze altijd zo up-to-date mogelijk is om u te beschermen tegen de nieuwste bedreigingen. Schakel bovendien real-time scannen in om bestanden en downloads te controleren terwijl deze continu worden geopend.
- Houd besturingssystemen en software bijgewerkt : Schakel automatische updates in voor uw besturingssysteem, browsers en applicaties om snel de nieuwste beveiligingspatches te ontvangen. Als automatische updates niet toegankelijk zijn, controleer deze dan regelmatig en installeer ze handmatig om de veiligheid te behouden.
- Gebruik firewalls : Zorg ervoor dat de ingebouwde firewall van uw besturingssysteem actief is om ongeautoriseerde toegang te blokkeren. Voor extra bescherming, vooral op thuis- of bedrijfsnetwerken, kunt u overwegen een hardwarefirewall te gebruiken.
- Oefen veilige surfgewoonten : bezoek geen websites die onbetrouwbaar lijken of twijfelachtige inhoud hebben. Download software van gerenommeerde en officiële bronnen en klik niet op pop-ups of advertenties die gratis downloads aanbieden om het risico op malware te minimaliseren.
- Gebruik sterke wachtwoorden en tweefactorauthenticatie (2FA) : Gebruik altijd voldoende sterke wachtwoorden voor verschillende accounts en wijzig deze regelmatig. Zorg ervoor dat 2FA een extra beveiligingslaag heeft, waardoor het voor potentiële hackers ingewikkelder wordt om toegang te krijgen.
- Wees voorzichtig met e-mail en bijlagen : Wees waakzaam over phishing-e-mails die zijn ontworpen om u te misleiden tot het vrijgeven van persoonlijke gegevens of het downloaden van malware. Open geen e-mailbijlagen en klik niet op links van onbekende of verdachte bronnen.
- Maak regelmatig een back-up van gegevens : maak regelmatig een back-up van belangrijke gegevens op een externe harde schijf of een cloudservice, zodat u informatie kunt herstellen in geval van een malware-aanval. Zorg er regelmatig voor dat uw back-ups compleet zijn en met succes kunnen worden hersteld.
- Gebruik advertentieblokkers en antitrackingtools : installeer advertentieblokkers om het risico op frauduleuze advertenties te verkleinen. Gebruik bovendien browserextensies die trackingscripts blokkeren om te voorkomen dat uw browsegegevens worden verzameld.
- Beveilig uw netwerk : verander alle standaardgebruikersnamen en wachtwoorden op uw router en andere netwerkapparaten. Gebruik sterke codering (WPA3 of WPA2) voor uw Wi-Fi-netwerk en schakel WPS uit om de beveiliging te verbeteren.
- Informeer uzelf en anderen : blijf op de hoogte van de nieuwste beveiligingsbedreigingen en best practices. Informeer familieleden of werknemers over veilig onlinegedrag en mogelijke bedreigingen, zodat iedereen op de hoogte is en waakzaam is.
Door deze maatregelen op alle apparaten te integreren, zullen gebruikers waarschijnlijk het risico op malware-infecties verminderen en de algehele veiligheid aanzienlijk verbeteren.
