اخبار
سازمانها در تایوان و یک سازمان غیردولتی ایالات متحده (NGO) مستقر در چین توسط یک گروه هکری وابسته به دولت پکن به نام Daggerfly با استفاده از مجموعهای از ابزارهای بدافزار ارتقا یافته هدف قرار گرفتهاند.
تیم شکارچی تهدید سیمانتک، بخشی از Broadcom، در گزارش جدیدی که امروز منتشر شد، گفت: این کمپین نشانهای از این است که این گروه "همچنین درگیر جاسوسی داخلی است." در حمله به این سازمان، مهاجمان از یک آسیب پذیری در سرور HTTP آپاچی برای ارائه بدافزار MgBot خود سوء استفاده کردند.
Daggerfly که با نام های Bronze Highland و Evasive Panda نیز شناخته می شود، قبلاً با استفاده از چارچوب بدافزار مدولار MgBot در ارتباط با یک ماموریت جمع آوری اطلاعات با هدف ارائه دهندگان خدمات مخابراتی در آفریقا مشاهده شده بود. شناخته شده است که از سال 2012 عملیاتی شده است.
این شرکت خاطرنشان کرد: «به نظر میرسد Daggerfly میتواند با بهروزرسانی سریع مجموعه ابزار خود برای ادامه فعالیتهای جاسوسی خود با کمترین اختلال، به قرار گرفتن در معرض قرار گرفتن واکنش نشان دهد».
آخرین مجموعه حملات با استفاده از یک خانواده بدافزار جدید مبتنی بر MgBot و همچنین یک نسخه بهبود یافته از بدافزار شناخته شده Apple macOS به نام MACMA مشخص می شود که برای اولین بار توسط گروه تحلیل تهدیدات گوگل (TAG) در نوامبر 2021 به عنوان توزیع شده افشا شد. از طریق حملات سوراخ آبی که کاربران اینترنت در هنگ کنگ را با سوء استفاده از نقص های امنیتی در مرورگر سافاری هدف قرار می دهند.
این توسعه اولین بار است که نوع بدافزار، که قادر به جمع آوری اطلاعات حساس و اجرای دستورات دلخواه است، به طور صریح به یک گروه هکر خاص مرتبط شده است.
SentinelOne در تجزیه و تحلیل بعدی در آن زمان خاطرنشان کرد: «بازیگران پشت macOS.MACMA حداقل از کدهای توسعهدهندگان ELF/Android استفاده مجدد میکردند و احتمالاً تلفنهای اندرویدی را نیز با بدافزار هدف قرار میدادند».
اتصالات MACMA به Daggerly همچنین از همپوشانی کد منبع بین بدافزار و Mgbot و این واقعیت که به یک سرور فرمان و کنترل (C2) (103.243.212[.]98) متصل می شود که توسط MgBot نیز استفاده شده است، ناشی می شود.
بدافزار جدید دیگری که در زرادخانه آن وجود دارد، Nightdoor (معروف به NetMM و Suzafk)، ایمپلنتی است که از Google Drive API برای C2 استفاده میکند و حداقل از سپتامبر 2023 در حملات حفرهای با هدف کاربران تبتی مورد استفاده قرار گرفته است. جزئیات این فعالیت برای اولین بار توسط ESET اوایل ماه مارس.
سیمانتک گفت: «این گروه میتواند نسخههایی از ابزارهای خود را ایجاد کند که اکثر پلتفرمهای اصلی سیستمعامل را هدف قرار میدهند. "
این توسعه در حالی صورت میگیرد که مرکز ملی واکنش اضطراری ویروس رایانهای چین (CVERC) ادعا میکند که طوفان ولتاژ - که توسط کشورهای Five Eyes به عنوان یک گروه جاسوسی چین-nexus نسبت داده میشود - اختراع سازمانهای اطلاعاتی ایالات متحده است و آن را اطلاعات نادرست توصیف کرد. پویش.
CVERC در گزارش اخیر خود تاکید کرد: «اگرچه اهداف اصلی آن کنگره ایالات متحده و مردم آمریکا هستند، اما همچنین تلاش می کند چین را بدنام کند، بین چین و سایر کشورها اختلاف ایجاد کند، توسعه چین را مهار کند و شرکت های چینی را غارت کند». .
