Pružaoci telekomunikacionih usluga u Africi meta su nove kampanje koju je organizovao haker povezan s Kinom, od novembra 2022. godine.
Upadi su vezani za hakersku ekipu koju Symantec prati kao Daggerfly, a koju takođe prati šira zajednica kibernetičke bezbjednosti kao Bronze Highland i Evasive Panda.
Kampanja koristi “ranije neviđene dodatke iz MgBot malver okvira”, navodi kompanija za kibernetičku bezbjednost u izvještaju objavljenom za The Hacker News. “Napadači su takođe viđeni kako koriste PlugX loader i zloupotrebljavaju legitimni AnyDesk softver za udaljenu radnu površinu.”
Malwarebytes je u julu 2020. godine skrenuo pažnju na Daggerfly-evo korištenje MgBot loadera, aka BLame ili MgmBot, kao dio phishing napada usmjerenih na zaposlene indijske vlade i pojedince u Hong Kong-u.
Prema profilu koji je objavio Secureworks, haker koristi phishing kao početni vektor zaraze za izbacivanje MgBot-a kao i drugih alata kao što su Cobalt Strike, legitimni softver za simulaciju protivnika i trojanac za daljinski pristup baziran na Android-u (RAT) pod nazivom KsRemote.
Grupa se sumnjiči da je vodila špijunske aktivnosti protiv domaćih zagovornika ljudskih prava i pro-demokratije i nacija u okolini Kine još 2014. godine.
Lanci napada koje je analizirao Symantec pokazuju upotrebu alata za život od zemlje (LotL) kao što su BITSAdmin i PowerShell za isporuku korisnih payload-a sljedeće faze, uključujući legitimnu izvršnu datoteku AnyDesk i uslužni program za prikupljanje kredencijala.
Haker se potom kreće na postavljanje postojanosti na sistemu žrtve kreiranjem lokalnog naloga i implementira modularni okvir MgBot, koji dolazi sa širokim spektrom dodataka za prikupljanje podataka preglednika, evidentiranje pritisaka na tipke, snimanje snimaka ekrana, snimanje zvuka i nabrajanje Usluga Active Directory-a.
“Sve ove mogućnosti bi omogućile napadačima da prikupe značajnu količinu informacija sa računara žrtava” rekao je Symantec. “Mogućnosti ovih dodataka takođe pokazuju da je glavni cilj napadača tokom ove kampanje bilo prikupljanje informacija.”
Sveobuhvatna priroda MgBot-a ukazuje na to da ga operateri aktivno održavaju i ažuriraju kako bi dobili pristup okruženju žrtve.
Objava stiže skoro mjesec dana nakon što je SentinelOne detaljno opisao kampanju pod nazivom Tainted Love u prvom kvartalu 2023. godine usmjerenu na telekomunikacijske provajdere na Bliskom istoku. Pripisana je kineskoj grupi za kibernetičku špijunažu koja se preklapa sa Galliumom, aka Othorene.
Symantec je dalje rekao da je identifikovao tri dodatne žrtve istog klastera aktivnosti koje se nalaze u Aziji i Africi. Dvije od žrtava, koje su hakovane u novembru 2022. godine, su podružnice jedne telekom kompanije u regionu Bliskog istoka.
“Telekomunikacione kompanije će uvijek biti ključna meta u kampanjama prikupljanja obavještajnih podataka zbog pristupa koji potencijalno mogu pružiti komunikaciji krajnjih korisnika” rekao je Symantec.