Daggerfly APT Group

กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐปักกิ่งที่รู้จักกันในชื่อ Daggerfly ได้กำหนดเป้าหมายองค์กรในไต้หวันและองค์กรพัฒนาเอกชนของสหรัฐฯ (NGO) ที่ดำเนินงานในจีน พวกเขาใช้ชุดเครื่องมือมัลแวร์ที่ได้รับการปรับปรุงในการโจมตีเหล่านี้ แคมเปญนี้บ่งชี้ว่ากลุ่มยังดำเนินการจารกรรมภายในด้วย ในระหว่างการโจมตี NGO แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในเซิร์ฟเวอร์ Apache HTTP เพื่อปรับใช้มัลแวร์ MgBot

คลังแสงคุกคามของกลุ่ม Daggerfly APT (ภัยคุกคามต่อเนื่องขั้นสูง)

Daggerfly หรือที่รู้จักกันในชื่อ Bronze Highland และ Evasive Panda ใช้เฟรมเวิร์กมัลแวร์โมดูลาร์ MgBot สำหรับการดำเนินการรวบรวมข่าวกรองที่มีเป้าหมายเป็นผู้ให้บริการโทรคมนาคมในแอฟริกามาตั้งแต่ปี 2555 กลุ่มนี้มีทักษะในการอัปเดตชุดเครื่องมืออย่างรวดเร็วเพื่อตอบสนองต่อการตรวจจับ ทำให้สามารถ ดำเนินกิจกรรมจารกรรมต่อไปโดยมีการหยุดชะงักน้อยที่สุด

การโจมตีล่าสุดเกี่ยวข้องกับตระกูลมัลแวร์ใหม่ที่ได้มาจาก MgBot และ MACMA เวอร์ชันปรับปรุง ซึ่งเป็นมัลแวร์ macOS ที่พบครั้งแรกในเดือนพฤศจิกายน 2564 ในตอนแรก MACMA แพร่กระจายผ่านการโจมตีแบบ Watering Hole ซึ่งใช้ประโยชน์จากช่องโหว่ใน Safari เพื่อกำหนดเป้าหมายผู้ใช้ในฮ่องกง

นี่เป็นการเชื่อมต่อที่ชัดเจนครั้งแรกของ MACMA กับกลุ่มแฮ็กเฉพาะ ซึ่งเผยให้เห็นความสามารถในการรวบรวมข้อมูลที่ละเอียดอ่อนและดำเนินการคำสั่งตามอำเภอใจ หลักฐานแสดงให้เห็นว่าผู้สร้าง MACMA อาจใช้โค้ดซ้ำจากนักพัฒนา ELF/Android ซึ่งอาจกำหนดเป้าหมายไปที่อุปกรณ์ Android เช่นกัน

การเชื่อมโยงของ MACMA กับ Daggerfly ได้รับการสนับสนุนเพิ่มเติมโดยการทับซ้อนในซอร์สโค้ดกับ MgBot และความจริงที่ว่ามันสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) (103.243.212.98) ซึ่งใช้โดย MgBot dropper เช่นกัน

ภัยคุกคามมัลแวร์เพิ่มเติมที่ใช้โดย Daggerfly

นอกเหนือจากคลังแสงของกลุ่มแล้ว Nightdoor (หรือที่รู้จักในชื่อ NetMM และ Suzafk) การฝังนี้ใช้ประโยชน์จาก Google Drive API สำหรับ Command-and-Control (C2) และถูกนำมาใช้ในการโจมตีแอ่งน้ำที่มีเป้าหมายเป็นผู้ใช้ชาวทิเบตตั้งแต่อย่างน้อยกันยายน 2023 กิจกรรมนี้ได้รับการบันทึกไว้ครั้งแรกในเดือนมีนาคม

กลุ่มนี้ได้แสดงให้เห็นถึงความสามารถในการพัฒนาเครื่องมือเวอร์ชันต่างๆ สำหรับระบบปฏิบัติการหลักๆ นักวิจัยได้สังเกตเห็นหลักฐานของ APK ของ Android ที่ถูกโทรจัน เครื่องมือสกัดกั้น SMS เครื่องมือสกัดกั้นคำขอ DNS และมัลแวร์ที่กำหนดเป้าหมาย Solaris OS

จะปกป้องอุปกรณ์ของคุณจากภัยคุกคามมัลแวร์ได้อย่างไร?

การปกป้องอุปกรณ์จากภัยคุกคามมัลแวร์ต้องใช้แนวทางที่หลากหลายซึ่งผสมผสานเทคโนโลยี แนวทางปฏิบัติที่ดีที่สุด และความระมัดระวังของผู้ใช้ ต่อไปนี้เป็นมาตรการที่ดีที่สุดที่ผู้ใช้ควรใช้เพื่อปกป้องอุปกรณ์ของตน:

• ติดตั้งและอัปเดตซอฟต์แวร์ป้องกันมัลแวร์เป็นประจำ : ใช้ซอฟต์แวร์ความปลอดภัยที่มีชื่อเสียงเพื่อตรวจจับและลบมัลแวร์ เพื่อให้มั่นใจว่าซอฟต์แวร์จะอัปเดตอยู่เสมอเท่าที่จะเป็นไปได้เพื่อป้องกันภัยคุกคามล่าสุด นอกจากนี้ เปิดใช้งานการสแกนแบบเรียลไทม์เพื่อตรวจสอบไฟล์และการดาวน์โหลดเมื่อมีการเข้าถึงอย่างต่อเนื่อง
• อัปเดตระบบปฏิบัติการและซอฟต์แวร์อยู่เสมอ : เปิดใช้งานการอัปเดตอัตโนมัติสำหรับระบบปฏิบัติการ เบราว์เซอร์ และแอปพลิเคชันของคุณเพื่อรับแพตช์ความปลอดภัยล่าสุดทันที หากไม่สามารถเข้าถึงการอัปเดตอัตโนมัติได้ ให้ตรวจสอบและติดตั้งการอัปเดตด้วยตนเองเป็นประจำเพื่อรักษาความปลอดภัย
• ใช้ไฟร์วอลล์ : ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ในตัวบนระบบปฏิบัติการของคุณทำงานอยู่เพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต สำหรับการป้องกันเพิ่มเติม โดยเฉพาะบนเครือข่ายภายในบ้านหรือธุรกิจ ให้พิจารณาใช้ไฟร์วอลล์แบบฮาร์ดแวร์
• ฝึกนิสัยการท่องเว็บอย่างปลอดภัย : หลีกเลี่ยงการเยี่ยมชมเว็บไซต์ที่ดูไม่น่าเชื่อถือหรือมีเนื้อหาที่น่าสงสัย ดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้และเป็นทางการ และหลีกเลี่ยงการคลิกป๊อปอัปหรือโฆษณาที่ให้ดาวน์โหลดฟรีเพื่อลดความเสี่ยงของมัลแวร์
• ใช้รหัสผ่านที่รัดกุมและการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) : ใช้รหัสผ่านที่รัดกุมเพียงพอสำหรับบัญชีที่แตกต่างกันเสมอ และเปลี่ยนรหัสผ่านเป็นประจำ เปิดใช้งาน 2FA ให้มีชั้นการรักษาความปลอดภัยอีกชั้นหนึ่ง ซึ่งทำให้แฮกเกอร์เข้าถึงได้ยากขึ้น
• ระมัดระวังเกี่ยวกับอีเมลและไฟล์แนบ : ระมัดระวังเกี่ยวกับอีเมลฟิชชิ่งที่ออกแบบมาเพื่อหลอกให้คุณเปิดเผยข้อมูลส่วนบุคคลหรือดาวน์โหลดมัลแวร์ อย่าเข้าถึงไฟล์แนบอีเมลหรือคลิกลิงก์จากแหล่งที่ไม่รู้จักหรือน่าสงสัย
• สำรองข้อมูลเป็นประจำ : สำรองข้อมูลสำคัญไปยังฮาร์ดไดรฟ์ภายนอกหรือบริการคลาวด์เป็นประจำ เพื่อให้มั่นใจว่าคุณสามารถกู้คืนข้อมูลได้ในกรณีที่มีการโจมตีจากมัลแวร์ ตรวจสอบให้แน่ใจว่าการสำรองข้อมูลของคุณเสร็จสมบูรณ์และสามารถกู้คืนได้สำเร็จเป็นระยะ
• ใช้ตัวบล็อกโฆษณาและเครื่องมือป้องกันการติดตาม : ติดตั้งตัวบล็อกโฆษณาเพื่อลดความเสี่ยงในการพบกับโฆษณาที่ฉ้อโกง นอกจากนี้ ให้ใช้ส่วนขยายเบราว์เซอร์ที่บล็อกสคริปต์ติดตามเพื่อปกป้องข้อมูลการท่องเว็บของคุณจากการถูกรวบรวม
• รักษาความปลอดภัยเครือข่ายของคุณ : เปลี่ยนชื่อผู้ใช้และรหัสผ่านเริ่มต้นทั้งหมดบนเราเตอร์และอุปกรณ์เครือข่ายอื่น ๆ ใช้การเข้ารหัสที่รัดกุม (WPA3 หรือ WPA2) สำหรับเครือข่าย Wi-Fi ของคุณและปิดใช้งาน WPS เพื่อเพิ่มความปลอดภัย
• ให้ความรู้แก่ตนเองและผู้อื่น : รับข่าวสารเกี่ยวกับภัยคุกคามด้านความปลอดภัยและแนวปฏิบัติที่ดีที่สุดล่าสุด ให้ความรู้แก่สมาชิกในครอบครัวหรือพนักงานเกี่ยวกับพฤติกรรมออนไลน์ที่ปลอดภัยและภัยคุกคามที่อาจเกิดขึ้นเพื่อให้แน่ใจว่าทุกคนตระหนักและระมัดระวัง

ด้วยการรวมมาตรการเหล่านี้ไว้ในอุปกรณ์ทั้งหมด ผู้ใช้จึงมีแนวโน้มที่จะลดความเสี่ยงของการติดมัลแวร์และเพิ่มความปลอดภัยโดยรวมได้อย่างมาก