Daggerfly APT Group

Një grup hakerash i sponsorizuar nga shteti i lidhur me Pekinin, i njohur si Daggerfly, ka shënjestruar organizata në Tajvan dhe një organizatë joqeveritare (OJQ) amerikane që vepron në Kinë. Ata kanë përdorur një grup të zgjeruar të mjeteve malware në këto sulme. Kjo fushatë tregon se grupi kryen edhe spiunazh të brendshëm. Gjatë sulmit ndaj OJQ-së, hakerët shfrytëzuan një dobësi në një server HTTP Apache për të vendosur malware-in e tyre MgBot .

Arsenali kërcënues i grupit Daggerfly APT (Kërcënimi i Përparuar i Përparuar)

Daggerfly, i njohur gjithashtu si Bronze Highland dhe Evasive Panda, ka përdorur kuadrin modular malware MgBot për operacionet e mbledhjes së inteligjencës që synojnë ofruesit e shërbimeve të telekomit në Afrikë që nga viti 2012. Grupi është i aftë në përditësimin e shpejtë të grupit të veglave në përgjigje të zbulimit, duke e lejuar atë të të vazhdojë aktivitetet e saj spiunazhi me ndërprerje minimale.

Sulmet më të fundit përfshijnë një familje të re malware që rrjedh nga MgBot dhe një version të përmirësuar të MACMA , një malware macOS i identifikuar për herë të parë në nëntor 2021. MACMA u shpërnda fillimisht përmes sulmeve të ujitjes duke shfrytëzuar dobësitë në Safari për të synuar përdoruesit në Hong Kong.

Kjo shënon lidhjen e parë të qartë të MACMA me një grup të caktuar hakerimi, duke zbuluar aftësinë e tij për të mbledhur informacione të ndjeshme dhe për të ekzekutuar komanda arbitrare. Provat sugjerojnë se krijuesit e MACMA mund të kenë ripërdorur kodin nga zhvilluesit ELF/Android, duke synuar potencialisht edhe pajisjet Android.

Lidhja e MACMA me Daggerfly mbështetet më tej nga mbivendosjet në kodin burimor me MgBot dhe nga fakti që ai komunikon me një server Command-and-Control (C2) (103.243.212.98) i përdorur gjithashtu nga një pikatore MgBot.

Kërcënime shtesë malware të përdorura nga Daggerfly

Një tjetër shtesë në arsenalin e grupit është Nightdoor (i njohur gjithashtu si NetMM dhe Suzafk). Ky implant shfrytëzon API-në e Google Drive për Command-and-Control (C2) dhe është përdorur në sulmet me vrima uji që synojnë përdoruesit tibetianë që të paktën që nga shtatori 2023. Ky aktivitet u dokumentua për herë të parë në mars.

Grupi ka demonstruar aftësinë për të zhvilluar versione të veglave të tij për sistemet kryesore operative. Studiuesit kanë vëzhguar prova të APK-ve të trojanizuara Android, mjeteve të përgjimit të SMS-ve, mjeteve të përgjimit të kërkesave DNS dhe malware që synojnë Solaris OS.

Si të mbroni pajisjet tuaja nga kërcënimet e malware?

Mbrojtja e pajisjeve nga kërcënimet e malware kërkon një qasje të shumëanshme që kombinon teknologjinë, praktikat më të mira dhe vigjilencën e përdoruesit. Këtu janë masat më të mira që përdoruesit duhet të zbatojnë për të mbrojtur pajisjet e tyre:

• Instaloni dhe përditësoni rregullisht softuerin anti-malware : Përdorni softuer sigurie me reputacion për të zbuluar dhe hequr malware, duke u siguruar që ai të jetë gjithmonë sa më i përditësuar që të jetë e mundur për t'u mbrojtur nga kërcënimet më të fundit. Për më tepër, aktivizoni skanimin në kohë reale për të monitoruar skedarët dhe shkarkimet ndërsa ato aksesohen vazhdimisht.
• Mbani të përditësuar sistemet operative dhe softuerin : Aktivizoni përditësimet automatike për sistemin tuaj operativ, shfletuesit dhe aplikacionet për të marrë menjëherë arnimet më të fundit të sigurisë. Nëse përditësimet automatike nuk janë të aksesueshme, kontrolloni rregullisht dhe instaloni ato manualisht për të ruajtur sigurinë.
• Përdorni muret e zjarrit : Sigurohuni që muri i zjarrit i integruar në sistemin tuaj operativ është aktiv për të bllokuar aksesin e paautorizuar. Për mbrojtje shtesë, veçanërisht në rrjetet e shtëpisë ose të biznesit, merrni parasysh përdorimin e një muri mbrojtës të harduerit.
• Praktikoni zakonet e shfletimit të sigurt : Shmangni vizitën e faqeve të internetit që duken të pabesueshme ose që kanë përmbajtje të dyshimtë. Shkarkoni softuer nga burime me reputacion dhe zyrtar dhe shmangni klikimin në dritare ose reklama që ofrojnë shkarkime falas për të minimizuar rrezikun e malware.
• Përdorni fjalëkalime të forta dhe vërtetim me dy faktorë (2FA) : Përdorni gjithmonë fjalëkalime mjaft të forta për llogari të ndryshme dhe ndryshoni ato rregullisht. Aktivizoni 2FA që të ketë një shtresë tjetër sigurie, duke e bërë më të komplikuar për hakerat e mundshëm që të kenë akses.
• Jini të kujdesshëm me emailet dhe bashkëngjitjet : Jini vigjilentë në lidhje me emailet e phishing të krijuara për t'ju mashtruar në zbulimin e informacionit personal ose shkarkimin e programeve të dëmshme. Mos hyni në bashkëngjitjet e postës elektronike ose mos klikoni në lidhje nga burime të panjohura ose të dyshimta.
• Rezervoni rregullisht të dhënat : Bëni kopje rezervë të rregullt të të dhënave të rëndësishme në një hard disk të jashtëm ose në një shërbim cloud, duke siguruar që mund të rikuperoni informacionin në rast të një sulmi malware. Periodikisht, sigurohuni që kopjet rezervë tuaja janë të plota dhe mund të rikthehen me sukses.
• Përdorni bllokuesit e reklamave dhe mjetet kundër gjurmimit : Instaloni bllokues reklamash për të zvogëluar rrezikun e përballjes me reklama mashtruese. Për më tepër, përdorni shtesat e shfletuesit që bllokojnë skriptet e gjurmimit për të mbrojtur të dhënat tuaja të shfletimit nga grumbullimi.
• Siguroni rrjetin tuaj : Ndryshoni të gjithë emrat e përdoruesve dhe fjalëkalimet e paracaktuar në ruterin tuaj dhe pajisjet e tjera të rrjetit. Përdorni kriptim të fortë (WPA3 ose WPA2) për rrjetin tuaj Wi-Fi dhe çaktivizoni WPS për të rritur sigurinë.
• Edukoni veten dhe të tjerët : Qëndroni të informuar për kërcënimet më të fundit të sigurisë dhe praktikat më të mira. Edukoni anëtarët e familjes ose punonjësit për sjelljet e sigurta në internet dhe kërcënimet e mundshme për të siguruar që të gjithë të jenë të vetëdijshëm dhe vigjilentë.

Duke integruar këto masa në të gjitha pajisjet, përdoruesit ka të ngjarë të zvogëlojnë rrezikun e infeksioneve të malware dhe të rrisin ndjeshëm sigurinë e përgjithshme.