Organizacije na Tajvanu i američka nevladina organizacija (NVO) sa sjedištem u Kini bile su na meti hakerske grupe pod nazivom Daggerfly , koja je povezana s Pekingom, koristeći nadograđeni set alata za zlonamjerni softver.
Kampanja je znak da se grupa “takođe bavi internom špijunažom”, navodi Symantecov Threat Hunter Team, dio Broadcoma, u novom izvještaju objavljenom danas. “U napadu na ovu organizaciju, napadači su iskoristili ranjivost na Apache HTTP serveru da isporuče svoj MgBot malver.”
Daggerfly, takođe poznat pod imenima Bronze Highland i Evasive Panda, ranije je primijećen korištenjem MgBot modularnog malware okvira u vezi s misijom prikupljanja obavještajnih podataka usmjerenom na pružatelje telekomunikacijskih usluga u Africi. Poznato je da je u funkciji od 2012.
“Čini se da je Daggerfly sposoban da odgovori na izloženost brzim ažuriranjem svog skupa alata kako bi nastavio svoje špijunske aktivnosti uz minimalne smetnje”, istakla je kompanija.
Najnoviji skup napada karakterizira korištenje nove porodice zlonamjernog softvera bazirane na MgBot-u, kao i poboljšane verzije poznatog Apple macOS malvera pod nazivom MACMA , koji je prvi razotkrio Google Threat Analysis Group (TAG) u novembru 2021. kao distribuiran putem napada rupa za vodu koji ciljaju korisnike interneta u Hong Kongu zloupotrebom sigurnosnih nedostataka u Safari pretraživaču.
Ovaj razvoj predstavlja prvi put da je vrsta zlonamjernog softvera, koja je sposobna prikupljati osjetljive informacije i izvršavati proizvoljne naredbe, eksplicitno povezana s određenom hakerskom grupom.
“Učesnici koji stoje iza macOS.MACMA su barem ponovo koristili kod ELF/Android programera i možda su također mogli ciljati i Android telefone sa zlonamjernim softverom”, primijetio je SentinelOne u naknadnoj analizi u to vrijeme.
MACMA-ine veze sa Daggerlyjem takođe proizlaze iz preklapanja izvornog koda između zlonamjernog softvera i Mgbota, te činjenice da se povezuje na komandni i kontrolni (C2) server (103.243.212[.]98) koji je takođe koristio MgBot dropper.
Još jedan novi zlonamjerni softver u njegovom arsenalu je Nightoor (aka NetMM i Suzafk), implantat koji koristi Google Drive API za C2 i koji se koristi u napadima zavodnjavanja usmjerenim na tibetanske korisnike najmanje od septembra 2023. Detalje aktivnosti prvi je dokumentirao ESET ranije ovog marta.
“Grupa može kreirati verzije svojih alata koje ciljaju većinu glavnih platformi operativnih sistema”, rekao je Symantec, dodajući da je “vidio dokaze o mogućnosti trojanizacije Android APK-ova, alata za presretanje SMS-ova, alata za presretanje DNS zahtjeva, pa čak i familija zlonamjernog softvera koji ciljaju Solaris OS .”
Razvoj događaja dolazi nakon što je Kineski nacionalni centar za hitne slučajeve (CVERC) tvrdio da je Volt Typhoon – koji su nacije Pet očiju pripisali špijunskoj grupi Kine-nexus – izum američkih obavještajnih agencija, opisujući ga kao dezinformaciju kampanja.
“Iako su njegove glavne mete Kongres SAD i američki narod, on takođe pokušava oklevetati Kinu, sijati nesloge [sic] između Kine i drugih zemalja, obuzdati razvoj Kine i opljačkati kineske kompanije”, navodi CVERC u nedavnom izvještaju .
Izvor:The Hacker News