Daggerfly APT 组织
一个由北京政府支持的黑客组织 Daggerfly 针对台湾的组织和在中国运营的美国非政府组织 (NGO) 发动了攻击。他们在这些攻击中使用了一套增强的恶意软件工具。这次活动表明该组织还进行内部间谍活动。在对非政府组织的攻击中,黑客利用 Apache HTTP 服务器中的漏洞部署了他们的MgBot恶意软件。
目录
Daggerfly APT(高级持续性威胁)组织的威胁武器库
Daggerfly,又名 Bronze Highland 和 Evasive Panda,自 2012 年以来一直使用 MgBot 模块化恶意软件框架针对非洲的电信服务提供商进行情报收集活动。该组织擅长根据检测结果快速更新其工具集,从而能够以最小的干扰继续进行间谍活动。
最新的攻击涉及源自 MgBot 的新恶意软件家族和MACMA的增强版本,MACMA 是 2021 年 11 月首次发现的 macOS 恶意软件。MACMA 最初通过利用 Safari 漏洞的水坑攻击进行传播,目标是香港用户。
这标志着 MACMA 首次明确与特定黑客组织建立联系,揭示了其收集敏感信息和执行任意命令的能力。有证据表明,MACMA 的创建者可能重复使用了 ELF/Android 开发人员的代码,可能也针对 Android 设备。
MACMA 与 Daggerfly 的关联得到了以下事实的进一步支持:源代码与 MgBot 重叠,并且与 MgBot 投放器也使用的命令和控制 (C2) 服务器 (103.243.212.98) 进行通信。
Daggerfly 利用的其他恶意软件威胁
该组织武器库中的另一个新成员是 Nightdoor(也称为 NetMM 和 Suzafk)。此植入程序利用 Google Drive API 进行命令和控制 (C2),自 2023 年 9 月起就一直用于针对藏族用户的水坑攻击。该活动于 3 月首次被记录下来。
该组织已展现出为主流操作系统开发工具版本的能力。研究人员已观察到被木马感染的 Android APK、短信拦截工具、DNS 请求拦截工具以及针对 Solaris OS 的恶意软件的证据。
如何保护您的设备免受恶意软件威胁?
保护设备免受恶意软件威胁需要采取多方面措施,结合技术、最佳实践和用户警惕性。以下是用户应采取的最佳措施来保护其设备:
- 安装并定期更新反恶意软件:使用信誉良好的安全软件来检测和删除恶意软件,确保其始终保持最新状态以防范最新威胁。此外,启用实时扫描以监控文件和下载的持续访问。
- 保持操作系统和软件更新:启用操作系统、浏览器和应用程序的自动更新,以便及时接收最新的安全补丁。如果无法访问自动更新,请定期检查并手动安装以维护安全。
- 使用防火墙:确保操作系统上的内置防火墙处于活动状态,以阻止未经授权的访问。为了获得额外的保护,尤其是在家庭或企业网络上,请考虑使用硬件防火墙。
- 养成安全的浏览习惯:避免访问看似不可信或内容可疑的网站。从信誉良好的官方来源下载软件,避免点击提供免费下载的弹出窗口或广告,以最大限度地降低恶意软件的风险。
- 使用强密码和双因素身份验证 (2FA) :始终为不同的帐户使用足够强的密码并定期更改。启用 2FA 可增加另一层安全保护,使潜在黑客更难获得访问权限。
- 谨慎对待电子邮件和附件:警惕旨在诱骗您泄露个人信息或下载恶意软件的网络钓鱼电子邮件。请勿访问电子邮件附件或点击来自未知或可疑来源的链接。
- 定期备份数据:定期将重要数据备份到外部硬盘或云服务,确保在遭受恶意软件攻击时可以恢复信息。定期确保您的备份完整且可以成功恢复。
- 使用广告拦截器和反跟踪工具:安装广告拦截器以降低遇到欺诈性广告的风险。此外,使用阻止跟踪脚本的浏览器扩展程序来保护您的浏览数据不被收集。
- 保护您的网络:更改路由器和其他网络设备上的所有默认用户名和密码。为您的 Wi-Fi 网络使用强加密(WPA3 或 WPA2)并禁用 WPS 以增强安全性。
- 教育自己和他人:随时了解最新的安全威胁和最佳做法。教育家庭成员或员工了解安全的在线行为和潜在威胁,确保每个人都了解并保持警惕。
通过在所有设备上集成这些措施,用户可能会降低恶意软件感染的风险并显著提高整体安全性。
