Daggerfly APT Group
Um grupo de hackers patrocinado pelo Estado, afiliado a Pequim, conhecido como Daggerfly, tem como alvo organizações em Taiwan e uma organização não governamental (ONG) dos EUA que opera na China. Eles empregaram um conjunto aprimorado de ferramentas de malware nesses ataques. Esta campanha indica que o grupo também realiza espionagem interna. Durante o ataque à ONG, os hackers exploraram uma vulnerabilidade num servidor Apache HTTP para implantar o seu malware MgBot.
Índice
O Arsenal Ameaçador do Daggerfly APT Group (Advanced Persistent Threat)
O Daggerfly, também conhecido como Bronze Highland e Evasive Panda, tem usado a estrutura modular de malware MgBot para operações de coleta de inteligência visando provedores de serviços de telecomunicações na África desde 2012. O grupo é hábil em atualizar rapidamente seu conjunto de ferramentas em resposta à detecção, permitindo-lhe continuar suas atividades de espionagem com o mínimo de interrupção.
Os ataques mais recentes envolvem uma nova família de malware derivada do MgBot e uma versão aprimorada do MACMA, um malware macOS identificado pela primeira vez em novembro de 2021. O MACMA foi inicialmente distribuído por meio de ataques watering hole que exploravam vulnerabilidades no Safari para atingir usuários em Hong Kong.
Isto marca a primeira conexão explícita do MACMA a um grupo de hackers específico, revelando sua capacidade de coletar informações confidenciais e executar comandos arbitrários. As evidências sugerem que os criadores do MACMA podem ter reutilizado código de desenvolvedores ELF/Android, potencialmente visando também dispositivos Android.
A associação do MACMA com o Daggerfly é ainda apoiada por sobreposições no código-fonte com o MgBot e pelo fato de ele se comunicar com um servidor de Comando e Controle (C2) (103.243.212.98) também usado por um conta-gotas do MgBot.
Ameaças de Malware Adicionais Utilizadas pelo Daggerfly
Outra adição ao arsenal do grupo é Nightdoor (também conhecido como NetMM e Suzafk). Este implante aproveita a API do Google Drive para comando e controle (C2) e tem sido usado em ataques watering hole direcionados a usuários tibetanos desde pelo menos setembro de 2023. Esta atividade foi documentada pela primeira vez em março.
O grupo demonstrou capacidade de desenvolver versões de suas ferramentas para os principais sistemas operacionais. Os pesquisadores observaram evidências de APKs Android trojanizados, ferramentas de interceptação de SMS, ferramentas de interceptação de solicitações de DNS e malware direcionado ao Solaris OS.
Como Proteger os Seus Dispositivos contra Ameaças de Malware?
Proteger dispositivos contra ameaças de malware requer uma abordagem multifacetada que combine tecnologia, melhores práticas e vigilância do usuário. Aqui estão as melhores medidas que os usuários devem implementar para proteger seus dispositivos:
- Instale e atualize regularmente software antimalware : Use software de segurança confiável para detectar e remover malware, garantindo que esteja sempre o mais atualizado possível para proteção contra as ameaças mais recentes. Além disso, habilite a verificação em tempo real para monitorar arquivos e downloads à medida que são acessados continuamente.
- Mantenha os sistemas operacionais e software atualizados : Habilite atualizações automáticas para seu sistema operacional, navegadores e aplicativos para receber os patches de segurança mais recentes imediatamente. Se as atualizações automáticas não estiverem acessíveis, verifique-as regularmente e instale-as manualmente para manter a segurança.
- Use firewalls : Certifique-se de que o firewall integrado em seu sistema operacional esteja ativo para bloquear o acesso não autorizado. Para proteção adicional, especialmente em redes domésticas ou empresariais, considere usar um firewall de hardware.
- Pratique hábitos de navegação segura : Evite visitar sites que pareçam não confiáveis ou que tenham conteúdo questionável. Baixe software de fontes oficiais e confiáveis e evite clicar em pop-ups ou anúncios que oferecem downloads gratuitos para minimizar o risco de malware.
- Empregue senhas fortes e autenticação de dois fatores (2FA) : Sempre use senhas suficientemente fortes para contas diferentes e altere-as regularmente. Permita que o 2FA tenha outra camada de segurança, tornando mais complicado o acesso de hackers em potencial.
- Seja cauteloso com e-mails e anexos : Fique atento a e-mails de phishing projetados para induzi-lo a divulgar informações pessoais ou baixar malware. Não acesse anexos de e-mail nem clique em links de fontes desconhecidas ou suspeitas.
- Faça backup de dados regularmente : Faça backup regular de dados importantes em um disco rígido externo ou serviço em nuvem, garantindo que você possa recuperar informações em caso de ataque de malware. Periodicamente, certifique-se de que seus backups estejam completos e possam ser restaurados com sucesso.
- Use bloqueadores de anúncios e ferramentas anti-rastreamento : Instale bloqueadores de anúncios para reduzir o risco de encontrar anúncios fraudulentos. Além disso, use extensões de navegador que bloqueiam scripts de rastreamento para proteger a coleta de seus dados de navegação.
- Proteja sua rede : Altere todos os nomes de usuário e senhas padrão em seu roteador e outros dispositivos de rede. Use criptografia forte (WPA3 ou WPA2) para sua rede Wi-Fi e desative o WPS para aumentar a segurança.
- Eduque-se e aos outros : Mantenha-se informado sobre as mais recentes ameaças à segurança e práticas recomendadas. Eduque os familiares ou funcionários sobre comportamentos online seguros e ameaças potenciais para garantir que todos estejam conscientes e vigilantes.
Ao integrar essas medidas em todos os dispositivos, os usuários provavelmente reduzirão o risco de infecções por malware e aumentarão significativamente a segurança geral.
