Daggerfly APT Group
Hekerska skupina Daggerfly, ki je povezana s Pekingom in jo sponzorira država, je napadla organizacije v Tajvanu in ameriško nevladno organizacijo (NVO), ki deluje na Kitajskem. Pri teh napadih so uporabili izboljšan nabor orodij za zlonamerno programsko opremo. Ta akcija nakazuje, da skupina izvaja tudi notranje vohunjenje. Med napadom na nevladno organizacijo so hekerji izkoristili ranljivost v strežniku HTTP Apache za namestitev svoje zlonamerne programske opreme MgBot .
Kazalo
Grozeči arzenal skupine Daggerfly APT (Advanced Persistent Threat).
Daggerfly, znan tudi kot Bronze Highland in Evasive Panda, od leta 2012 uporablja modularno ogrodje zlonamerne programske opreme MgBot za operacije zbiranja obveščevalnih podatkov, ki ciljajo na ponudnike telekomunikacijskih storitev v Afriki. Skupina je usposobljena za hitro posodabljanje svojega nabora orodij kot odgovor na odkrivanje, kar ji omogoča, nadaljeval svoje vohunske dejavnosti z minimalnimi motnjami.
Najnovejši napadi vključujejo novo družino zlonamerne programske opreme, izpeljano iz MgBot, in izboljšano različico MACMA , zlonamerne programske opreme za macOS, ki je bila prvič identificirana novembra 2021. MACMA je bila prvotno razširjena prek napadov z luknjami, ki so izkoriščali ranljivosti v Safariju za ciljanje na uporabnike v Hongkongu.
To pomeni prvo eksplicitno povezavo MACMA z določeno hekersko skupino, ki razkriva njeno zmožnost zbiranja občutljivih informacij in izvajanja poljubnih ukazov. Dokazi kažejo, da so ustvarjalci MACMA morda ponovno uporabili kodo razvijalcev ELF/Android in potencialno ciljali tudi na naprave Android.
Povezava MACMA z Daggerfly je dodatno podprta s prekrivanjem izvorne kode z MgBotom in dejstvom, da komunicira s strežnikom za ukazovanje in nadzor (C2) (103.243.212.98), ki ga prav tako uporablja kapalka MgBot.
Dodatne grožnje zlonamerne programske opreme, ki jih uporablja Daggerfly
Še en dodatek k arzenalu skupine je Nightdoor (znan tudi kot NetMM in Suzafk). Ta vsadek izkorišča Google Drive API za ukazovanje in nadzor (C2) in se uporablja pri napadih na vodne luknje, ki ciljajo na tibetanske uporabnike, vsaj od septembra 2023. Ta dejavnost je bila prvič dokumentirana marca.
Skupina je dokazala sposobnost razvoja različic svojih orodij za glavne operacijske sisteme. Raziskovalci so opazili dokaze o trojaniziranih APK-jih za Android, orodjih za prestrezanje SMS-ov, orodjih za prestrezanje zahtev DNS in zlonamerni programski opremi, ki cilja na OS Solaris.
Kako zaščititi svoje naprave pred grožnjami zlonamerne programske opreme?
Zaščita naprav pred grožnjami zlonamerne programske opreme zahteva večplasten pristop, ki združuje tehnologijo, najboljše prakse in pozornost uporabnikov. Tu so najboljši ukrepi, ki jih morajo uporabniki izvesti za zaščito svojih naprav:
- Namestite in redno posodabljajte programsko opremo proti zlonamerni programski opremi : za odkrivanje in odstranjevanje zlonamerne programske opreme uporabite priznano varnostno programsko opremo, pri čemer zagotovite, da je vedno čim bolj posodobljena za zaščito pred najnovejšimi grožnjami. Poleg tega omogočite skeniranje v realnem času za spremljanje datotek in prenosov, ko do njih neprekinjeno dostopate.
- Naj bodo operacijski sistemi in programska oprema posodobljeni : omogočite samodejne posodobitve za vaš operacijski sistem, brskalnike in aplikacije, da takoj prejmete najnovejše varnostne popravke. Če samodejne posodobitve niso na voljo, jih redno preverjajte in nameščajte ročno, da ohranite varnost.
- Uporabite požarne zidove : zagotovite, da je vgrajeni požarni zid v vašem operacijskem sistemu aktiven, da blokira nepooblaščen dostop. Za dodatno zaščito, zlasti v domačih ali poslovnih omrežjih, razmislite o uporabi strojnega požarnega zidu.
- Vadite navade varnega brskanja : Izogibajte se obiskovanju spletnih mest, ki se zdijo nezaupljiva ali imajo vprašljivo vsebino. Prenesite programsko opremo iz uglednih in uradnih virov in se izogibajte klikanju na pojavna okna ali oglase, ki ponujajo brezplačne prenose, da zmanjšate tveganje zlonamerne programske opreme.
- Uporabite močna gesla in dvostopenjsko avtentikacijo (2FA) : vedno uporabite dovolj močna gesla za različne račune in jih redno spreminjajte. Omogočite 2FA, da bo imel še en varnostni sloj, zaradi česar bo morebitnim hekerjem bolj zapleten dostop.
- Bodite previdni z e-pošto in prilogami : Bodite pozorni na e-poštna sporočila z lažnim predstavljanjem, ki so namenjena zavajanju v razkritje osebnih podatkov ali prenos zlonamerne programske opreme. Ne dostopajte do e-poštnih prilog in ne klikajte povezav iz neznanih ali sumljivih virov.
- Redno varnostno kopirajte podatke : redno varnostno kopirajte pomembne podatke na zunanji trdi disk ali storitev v oblaku, kar zagotavlja, da lahko obnovite podatke v primeru napada z zlonamerno programsko opremo. Občasno se prepričajte, da so varnostne kopije dokončane in da jih je mogoče uspešno obnoviti.
- Uporabite zaviralce oglasov in orodja za preprečevanje sledenja : namestite zaviralce oglasov, da zmanjšate tveganje, da bi naleteli na goljufive oglase. Poleg tega uporabite razširitve brskalnika, ki blokirajo skripte za sledenje, da zaščitite svoje podatke brskanja pred zbiranjem.
- Zavarujte svoje omrežje : spremenite vsa privzeta uporabniška imena in gesla na usmerjevalniku in drugih omrežnih napravah. Uporabite močno šifriranje (WPA3 ali WPA2) za vaše omrežje Wi-Fi in onemogočite WPS za večjo varnost.
- Izobražujte sebe in druge : Bodite obveščeni o najnovejših varnostnih grožnjah in najboljših praksah. Poučite družinske člane ali zaposlene o varnem spletnem vedenju in potencialnih grožnjah, da zagotovite, da so vsi ozaveščeni in pozorni.
Z vključitvijo teh ukrepov v vse naprave bodo uporabniki verjetno zmanjšali tveganje okužb z zlonamerno programsko opremo in občutno povečali splošno varnost.
