Daggerfly APT Group
Связанная с Пекином спонсируемая государством хакерская группа, известная как Daggerfly, атаковала организации на Тайване и американскую неправительственную организацию (НПО), действующую в Китае. В этих атаках они использовали расширенный набор вредоносных инструментов. Эта кампания указывает на то, что группировка также занимается внутренним шпионажем. Во время атаки на НПО хакеры воспользовались уязвимостью HTTP-сервера Apache для развертывания своего вредоносного ПО MgBot .
Оглавление
Угрожающий арсенал группы Daggerfly APT (Advanced Persistent Threat)
Daggerfly, также известная как Bronze Highland и Evasive Panda, с 2012 года использует модульную структуру вредоносного ПО MgBot для операций по сбору разведывательных данных, нацеленных на поставщиков телекоммуникационных услуг в Африке. Группа умеет быстро обновлять свой набор инструментов в ответ на обнаружение, что позволяет ей продолжать свою шпионскую деятельность с минимальными помехами.
В последних атаках задействовано новое семейство вредоносных программ, созданное на основе MgBot, и расширенная версия MACMA , вредоносного ПО для macOS, впервые выявленного в ноябре 2021 года. Первоначально MACMA распространялась посредством атак с использованием уязвимостей Safari и нацелена на пользователей в Гонконге.
Это знаменует собой первое явное соединение MACMA с конкретной хакерской группой, раскрывающее ее способность собирать конфиденциальную информацию и выполнять произвольные команды. Имеющиеся данные свидетельствуют о том, что создатели MACMA, возможно, повторно использовали код разработчиков ELF/Android, потенциально ориентируясь также и на устройства Android.
Связь MACMA с Daggerfly дополнительно подтверждается совпадением исходного кода с MgBot и тем фактом, что он взаимодействует с сервером управления и контроля (C2) (103.243.212.98), также используемым дроппером MgBot.
Дополнительные вредоносные угрозы, используемые Daggerfly
Еще одно дополнение к арсеналу группы — Nightdoor (также известный как NetMM и Suzafk). Этот имплант использует API Google Drive для управления и контроля (C2) и используется в атаках на водопой, нацеленных на тибетских пользователей, по крайней мере, с сентября 2023 года. Впервые эта деятельность была задокументирована в марте.
Группа продемонстрировала способность разрабатывать версии своих инструментов для основных операционных систем. Исследователи обнаружили следы зараженных троянами APK-файлов Android, инструментов перехвата SMS, инструментов перехвата DNS-запросов и вредоносных программ, нацеленных на ОС Solaris.
Как защитить ваши устройства от вредоносных угроз?
Защита устройств от угроз вредоносного ПО требует многогранного подхода, сочетающего в себе технологии, лучшие практики и бдительность пользователей. Вот лучшие меры, которые пользователи должны принять для защиты своих устройств:
- Установите и регулярно обновляйте антивирусное программное обеспечение . Используйте надежное программное обеспечение безопасности для обнаружения и удаления вредоносного ПО, гарантируя, что оно всегда будет максимально актуальным для защиты от новейших угроз. Кроме того, включите сканирование в реальном времени для мониторинга файлов и загрузок по мере постоянного доступа к ним.
- Постоянно обновляйте операционные системы и программное обеспечение . Включите автоматические обновления для вашей операционной системы, браузеров и приложений, чтобы оперативно получать последние обновления безопасности. Если автоматические обновления недоступны, регулярно проверяйте и устанавливайте их вручную для обеспечения безопасности.
- Используйте брандмауэры : убедитесь, что встроенный брандмауэр в вашей операционной системе активен, чтобы заблокировать несанкционированный доступ. Для дополнительной защиты, особенно в домашних или деловых сетях, рассмотрите возможность использования аппаратного брандмауэра.
- Соблюдайте правила безопасного просмотра : избегайте посещения веб-сайтов, которые кажутся ненадежными или имеют сомнительное содержание. Загружайте программное обеспечение из надежных и официальных источников и избегайте нажатия на всплывающие окна или рекламные объявления, предлагающие бесплатную загрузку, чтобы минимизировать риск заражения вредоносным ПО.
- Используйте надежные пароли и двухфакторную аутентификацию (2FA) . Всегда используйте достаточно надежные пароли для разных учетных записей и регулярно меняйте их. Включите 2FA, чтобы получить еще один уровень безопасности, что усложнит доступ потенциальным хакерам.
- Будьте осторожны с электронной почтой и вложениями . Будьте бдительны в отношении фишинговых писем, призванных обманным путем заставить вас раскрыть личную информацию или загрузить вредоносное ПО. Не открывайте вложения электронной почты и не нажимайте на ссылки из неизвестных или подозрительных источников.
- Регулярное резервное копирование данных . Регулярно создавайте резервные копии важных данных на внешний жесткий диск или в облачную службу, чтобы вы могли восстановить информацию в случае атаки вредоносного ПО. Периодически проверяйте, что ваши резервные копии полны и могут быть успешно восстановлены.
- Используйте блокировщики рекламы и инструменты защиты от отслеживания . Установите блокировщики рекламы, чтобы снизить риск встречи с мошеннической рекламой. Кроме того, используйте расширения браузера, которые блокируют сценарии отслеживания, чтобы защитить данные о просмотре от сбора.
- Защитите свою сеть : измените все имена пользователей и пароли по умолчанию на маршрутизаторе и других сетевых устройствах. Используйте стойкое шифрование (WPA3 или WPA2) для своей сети Wi-Fi и отключите WPS для повышения безопасности.
- Обучайте себя и других : будьте в курсе последних угроз безопасности и передового опыта. Просвещайте членов семьи или сотрудников о безопасном поведении в Интернете и потенциальных угрозах, чтобы все были осведомлены и бдительны.
Интегрировав эти меры на все устройства, пользователи, вероятно, снизят риск заражения вредоносным ПО и значительно повысят общую безопасность.
