Οργανισμοί στην Ταϊβάν και μια αμερικανική μη κυβερνητική οργάνωση (ΜΚΟ) με έδρα την Κίνα, έχουν γίνει στόχος μιας κρατικής ομάδας hacker που ονομάζεται Daggerfly και χρησιμοποιεί ένα αναβαθμισμένο σύνολο εργαλείων MgBot malware.
Δείτε επίσης: HATVIBE και CHERRYSPY Malware στοχεύει την Ουκρανία
Οι επιθέσεις αυτές είναι ένα σημάδι ότι η ομάδα “εμπλέκεται επίσης σε εσωτερική κατασκοπεία“, δήλωσε η ομάδα Threat Hunter της Symantec, σε μια νέα έκθεση που δημοσιεύθηκε σήμερα. “Οι εισβολείς εκμεταλλεύτηκαν μια ευπάθεια σε έναν διακομιστή HTTP Apache για να παραδώσουν το MgBot malware τους.“
Η Daggerfly, γνωστή και με τα ονόματα Bronze Highland και Evasive Panda, είχε παρατηρηθεί στο παρελθόν να χρησιμοποιεί το MgBot malware για συλλογή πληροφοριών από παρόχους τηλεπικοινωνιακών υπηρεσιών στην Αφρική. Είναι γνωστό ότι δραστηριοποιείται από το 2012.
Το πιο πρόσφατο σύνολο επιθέσεων χαρακτηρίζεται από τη χρήση μιας νέας οικογένειας malware που βασίζεται στο MgBot, καθώς και μιας βελτιωμένης έκδοσης ενός γνωστού κακόβουλου λογισμικού που επηρεάζει το macOS, που ονομάζεται MACMA, το οποίο αποκαλύφθηκε για πρώτη φορά από την Ομάδα Ανάλυσης Απειλών (TAG) της Google τον Νοέμβριο του 2021, αφού διανεμήθηκε μέσω επιθέσεων που στοχεύουν χρήστες του Διαδικτύου στο Χονγκ Κονγκ, κάνοντας κατάχρηση ελαττωμάτων ασφαλείας στο πρόγραμμα περιήγησης Safari.
Είναι η πρώτη φορά που το στέλεχος κακόβουλου λογισμικού, το οποίο είναι ικανό να συλλέγει ευαίσθητες πληροφορίες και να εκτελεί αυθαίρετες εντολές, συνδέεται ρητά με μια συγκεκριμένη ομάδα hacking.
Δείτε ακόμα: SocGholish Malware: Εκμεταλλεύεται το project BOINC για να πραγματοποιήσει κυβερνοεπιθέσεις
«Οι hackers πίσω από το macOS.MACMA επαναχρησιμοποιούσαν κώδικα από προγραμματιστές ELF/Android και πιθανώς θα μπορούσαν επίσης να στοχεύσουν τηλέφωνα Android με κακόβουλο λογισμικό», σημείωσε η SentinelOne σε μεταγενέστερη ανάλυση εκείνη την εποχή.
Οι συνδέσεις του MACMA με την Daggerly προέρχονται επίσης από επικαλύψεις πηγαίου κώδικα μεταξύ του κακόβουλου λογισμικού και του Mgbot και από το γεγονός ότι συνδέεται με έναν διακομιστή εντολών και ελέγχου (C2) (103.243.212[.]98) που έχει επίσης χρησιμοποιηθεί από ένα MgBot dropper.
Ένα άλλο νέο κακόβουλο λογισμικό στο οπλοστάσιο της ομάδας είναι το Nightdoor (γνωστό και ως NetMM και Suzafk), ένα implant που χρησιμοποιεί το Google Drive API για το C2 και έχει χρησιμοποιηθεί σε επιθέσεις που στοχεύουν Θιβετιανούς χρήστες τουλάχιστον από τον Σεπτέμβριο του 2023. Λεπτομέρειες της δραστηριότητας τεκμηριώθηκαν για πρώτη φορά από την ESET νωρίτερα τον Μάρτιο.
Η εξέλιξη έρχεται καθώς το Εθνικό Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης για Ιούς Υπολογιστών (CVERC) της Κίνας ισχυρίστηκε ότι το Volt Typhoon – το οποίο έχει εντοπιστεί ως ομάδα κατασκοπείας της Κίνας – είναι εφεύρεση των υπηρεσιών πληροφοριών των ΗΠΑ, περιγράφοντάς το ως καμπάνια παραπληροφόρησης.
Δείτε επίσης: Η συμμορία Revolver Rabbit καταχωρεί 500.000 τομείς για καμπάνιες malware
Το malware, όπως το MgBot που χρησιμοποιεί η Daggerfly, αναφέρεται σε οποιοδήποτε λογισμικό που έχει σχεδιαστεί σκόπιμα για να προκαλέσει βλάβη σε υπολογιστή, διακομιστή ή δίκτυο. Περιλαμβάνει διάφορους τύπους επιβλαβών προγραμμάτων, συμπεριλαμβανομένων ιών, worms, trojans, ransomware και spyware. Μόλις εγκατασταθεί σε μια συσκευή, το κακόβουλο λογισμικό μπορεί να διαταράξει τις κανονικές λειτουργίες, να θέσει σε κίνδυνο ευαίσθητες πληροφορίες και να οδηγήσει σε σοβαρή οικονομική απώλεια και απώλεια δεδομένων. Για την προστασία των συστημάτων από κακόβουλο λογισμικό, είναι απαραίτητο να διατηρείτε ενημερωμένο λογισμικό προστασίας από ιούς, να εφαρμόζετε συνήθειες ασφαλούς περιήγησης και να δημιουργείτε τακτικά αντίγραφα ασφαλείας σημαντικών δεδομένων.
Πηγή: thehackernews
