A kínai Daggerfly APT csoport új macOS backdoort használ
A Daggerfly (Evasive Panda, Bronze Highland) kémcsoport frissítette eszközkészletét, valószínűleg a régebbi malware-verziók lelepleződésére válaszul. A legutóbbi frissítéseket több tajvani szervezet és egy Kínában működő amerikai civil szervezet ellen vetették be. Az egyik figyelemre méltó támadás során egy Apache HTTP szerver sebezhetőségét használták ki az MgBot rosszindulatú szoftver terjesztésére. A közelmúltbeli frissítések között szerepel egy új, az MgBot keretrendszerhez kapcsolódó kártevőcsalád bevezetése és a Macma macOS backdoor átdolgozott változata. A Symantec Threat Hunter csapata bizonyítékokat talált, amelyek arra utalnak, hogy a Daggerfly fejlesztette ki a Macma eszközt.
A Daggerfly frissített eszközkészlete és a közelmúltbeli kibertámadási tevékenységei a csoport alkalmazkodóképességét és a kémtevékenységekre való folyamatos összpontosítását jelzik. Az új változatok felvételét és a rosszindulatú szoftverek keretrendszerének továbbfejlesztését a régebbi verziók leleplezése válthatja ki. A közelmúltbeli felfedezések bizonyítékot tartalmaznak arra, hogy a csoport képes jelentős operációs rendszerplatformokat megcélozni, például az Android APK-k trójaiakkal való ellátása, SMS-lehallgató eszközök, DNS-kérelmek lehallgatására szolgáló eszközök és Solaris OS-t célzó kártevőcsaládok. Az, hogy a Symantec Threat Hunter Team a Macma-t a Daggerfly-nak tulajdonította, tovább erősíti a csoport kifinomult és széles körű rosszindulatú kártevő képességeit.
A Daggerfly eszközkészletének új backdoor kiegészítése (Trojan.Suzafk), amelyet az ESET 2024 márciusában Nightdoor (NetMM) néven dokumentált, szintén rávilágít a csoport folyamatos kémtevékenységére. A Suzafk ugyanazt a megosztott könyvtárat használja, amelyet az Mgbot, a Macma és számos más Daggerfly eszköz is. Ez a Windows backdoor támogatja a TCP vagy a OneDrive C&C-t, és a Microsoft OneDrive felhőalapú tárhelyszolgáltatásához való kapcsolódás funkcionalitásában a fejlődés jeleit mutatja, ami egy lehetséges fokozatos frissítési megközelítésre utal. Összességében ezek a frissítések a Daggerfly kiterjedt erőforrásait és képességeit jelzik.
(forrás)
(forrás)
