Daggerfly APT Group

Štátom podporovaná hackerská skupina pridružená k Pekingu známa ako Daggerfly sa zamerala na organizácie na Taiwane a americkú mimovládnu organizáciu (NGO) pôsobiacu v Číne. Pri týchto útokoch použili vylepšenú sadu malvérových nástrojov. Táto kampaň naznačuje, že skupina vykonáva aj vnútornú špionáž. Počas útoku na mimovládnu organizáciu hackeri zneužili zraniteľnosť servera Apache HTTP na nasadenie svojho malvéru MgBot .

Hrozivý arzenál skupiny Daggerfly APT (Advanced Persistent Threat).

Daggerfly, tiež známy ako Bronze Highland a Evasive Panda, od roku 2012 používa modulárny malvérový rámec MgBot na operácie zhromažďovania spravodajských informácií zamerané na poskytovateľov telekomunikačných služieb v Afrike. Skupina je zručná v rýchlej aktualizácii svojej sady nástrojov v reakcii na detekciu, čo jej umožňuje pokračovať vo svojich špionážnych aktivitách s minimálnym narušením.

Najnovšie útoky zahŕňajú novú rodinu malvéru odvodenú od MgBot a vylepšenú verziu MACMA , malvéru pre macOS, ktorý bol prvýkrát identifikovaný v novembri 2021. MACMA bol pôvodne distribuovaný prostredníctvom útokov na zalievanie dier využívajúcich zraniteľné miesta v Safari na zacielenie na používateľov v Hongkongu.

Ide o prvé explicitné pripojenie MACMA k špecifickej hackerskej skupine, čo odhaľuje jej schopnosť zbierať citlivé informácie a vykonávať ľubovoľné príkazy. Dôkazy naznačujú, že tvorcovia MACMA mohli opätovne použiť kód od vývojárov ELF/Android, potenciálne sa zamerali aj na zariadenia so systémom Android.

Spojenie MACMA s Daggerfly je ďalej podporované prekrývaním zdrojového kódu s MgBot a skutočnosťou, že komunikuje so serverom Command-and-Control (C2) (103.243.212.98), ktorý tiež používa kvapkadlo MgBot.

Ďalšie hrozby škodlivého softvéru využívané spoločnosťou Daggerfly

Ďalším prírastkom do arzenálu skupiny je Nightdoor (známy aj ako NetMM a Suzafk). Tento implantát využíva Google Drive API pre Command-and-Control (C2) a používa sa pri útokoch na zalievanie dier zameraných na tibetských používateľov minimálne od septembra 2023. Táto aktivita bola prvýkrát zdokumentovaná v marci.

Skupina preukázala schopnosť vyvíjať verzie svojich nástrojov pre hlavné operačné systémy. Výskumníci zaznamenali dôkazy o trojanizovaných súboroch Android APK, nástrojoch na zachytávanie SMS, nástrojoch na zachytávanie požiadaviek DNS a malvér zameraný na OS Solaris.

Ako chrániť svoje zariadenia pred hrozbami škodlivého softvéru?

Ochrana zariadení pred hrozbami škodlivého softvéru si vyžaduje mnohostranný prístup, ktorý kombinuje technológiu, osvedčené postupy a ostražitosť používateľov. Tu sú najlepšie opatrenia, ktoré by používatelia mali zaviesť na ochranu svojich zariadení:

• Inštalujte a pravidelne aktualizujte softvér na ochranu pred škodlivým softvérom : Na detekciu a odstránenie škodlivého softvéru používajte renomovaný bezpečnostný softvér, ktorý zabezpečí, že bude vždy najaktuálnejší, aby ste ho ochránili pred najnovšími hrozbami. Okrem toho povoľte skenovanie v reálnom čase, aby ste mohli sledovať súbory a stiahnuté súbory pri nepretržitom prístupe k nim.
• Udržujte operačné systémy a softvér aktualizované : Povoľte automatické aktualizácie pre váš operačný systém, prehliadače a aplikácie, aby ste čo najskôr dostali najnovšie bezpečnostné záplaty. Ak automatické aktualizácie nie sú dostupné, pravidelne ich kontrolujte a inštalujte ich ručne, aby ste zachovali bezpečnosť.
• Použiť brány firewall : Uistite sa, že vstavaná brána firewall vo vašom operačnom systéme je aktívna, aby blokovala neoprávnený prístup. Pre dodatočnú ochranu, najmä v domácich alebo podnikových sieťach, zvážte použitie hardvérového firewallu.
• Uplatňujte si návyky bezpečného prehliadania : Vyhnite sa návšteve webových stránok, ktoré vyzerajú nedôveryhodne alebo majú pochybný obsah. Stiahnite si softvér z renomovaných a oficiálnych zdrojov a vyhýbajte sa klikaniu na kontextové okná alebo reklamy ponúkajúce bezplatné sťahovanie, aby ste minimalizovali riziko škodlivého softvéru.
• Používajte silné heslá a dvojfaktorové overenie (2FA) : Vždy používajte dostatočne silné heslá pre rôzne účty a pravidelne ich meňte. Umožnite 2FA mať ďalšiu bezpečnostnú vrstvu, čím sa skomplikuje získanie prístupu pre potenciálnych hackerov.
• Buďte opatrní pri e-mailoch a prílohách : Buďte opatrní pri phishingových e-mailoch, ktorých cieľom je oklamať vás, aby ste prezradili osobné informácie alebo stiahli malvér. Nepristupujte k prílohám e-mailov ani neklikajte na odkazy z neznámych alebo podozrivých zdrojov.
• Pravidelne zálohujte údaje : Pravidelne zálohujte dôležité údaje na externý pevný disk alebo cloudovú službu, čím zaistíte, že budete môcť obnoviť informácie v prípade útoku škodlivého softvéru. Pravidelne sa uistite, že vaše zálohy sú úplné a možno ich úspešne obnoviť.
• Používajte nástroje na blokovanie reklám a nástroje proti sledovaniu : Nainštalujte blokátory reklám, aby ste znížili riziko, že sa stretnete s podvodnými reklamami. Okrem toho použite rozšírenia prehliadača, ktoré blokujú sledovacie skripty, aby ste ochránili svoje údaje prehliadania pred zhromažďovaním.
• Zabezpečte svoju sieť : Zmeňte všetky predvolené používateľské mená a heslá na smerovači a iných sieťových zariadeniach. Použite silné šifrovanie (WPA3 alebo WPA2) pre vašu Wi-Fi sieť a deaktivujte WPS na zvýšenie bezpečnosti.
• Vzdelávajte seba a ostatných : Buďte informovaní o najnovších bezpečnostných hrozbách a osvedčených postupoch. Vzdelávajte členov rodiny alebo zamestnancov o bezpečnom správaní na internete a potenciálnych hrozbách, aby ste sa uistili, že všetci sú informovaní a ostražití.

Integráciou týchto opatrení do všetkých zariadení používatelia pravdepodobne znížia riziko infekcie škodlivým softvérom a výrazne zvýšia celkovú bezpečnosť.