O grupo de cibercriminosos APT Daggerfly, ligado à China, foi flagrado usando uma versão atualizada do backdoor do macOS Macma. O grupoatualizou significativamente seu arsenal de malware, adicionando uma nova família de malware.
Versão atualizada do backdoor do Macma macOS é lançada pelo APT Daggerfly
As informações de que o grupo de espionagem Daggerfly (também conhecido como Evasive Panda, Bronze Highland) atualizou extensivamente seu conjunto de ferramentas, introduzindo várias novas versões de seu malware, provavelmente em resposta à exposição de variantes mais antigas vem de um relatório (Via: Security Affairs).
As novas ferramentas foram implantadas em vários ataques recentes contra organizações em Taiwan e uma ONG dos EUA sediada na China, o que indica que o grupo também se envolve em espionagem interna. No ataque a esta organização, os invasores exploraram uma vulnerabilidade em um servidor HTTP Apache para entregar seu malware MgBot.
O grupo APT foi flagrado usando as famílias de malware em ataques contra organizações taiwanesas e uma ONG dos EUA na China. Os invasores exploraram uma vulnerabilidade do servidor HTTP Apache para entregar seu malware MgBot, de acordo com o relatório citado pelo Security Affairs.
O Daggerfly
O Daggerfly está ativo há pelo menos uma década, o grupo é conhecido pelo uso da estrutura de malware personalizada MgBot. Em 2023, a Symantec identificou uma intrusão do Daggerfly em uma operadora de telecomunicações africana, usando novos plug-ins MgBot. Isso destaca a evolução contínua do grupo em táticas de espionagem cibernética.
O backdoor Macma macOS foi detalhado pela primeira vez pelo Google em 2021 e tem sido usado desde pelo menos 2019. No momento da descoberta, os agentes de ameaças empregaram o malware em ataques de watering hole envolvendo sites comprometidos em Hong Kong.
Notícias Relacionadas
Os ataques de watering hole usaram exploits para dispositivos iOS e macOS. Os invasores exploraram a vulnerabilidade de escalonamento de privilégios CVE-2021-30869 para instalar o Macma em dispositivos macOS. Macma é um backdoor modular que suporta múltiplas funcionalidades, incluindo impressão digital do dispositivo, execução de comandos, captura de tela, keylogging, captura de áudio, upload e download de arquivos.
Embora o Macma tenha sido amplamente usado em operações cibernéticas realizadas por atores de estados-nação, ele não estava vinculado a um grupo em particular. No entanto, a Symantec encontrou evidências que sugerem que ele faz parte do kit de ferramentas Daggerfly.
Além dessa infraestrutura compartilhada, o Macma e outros malwares no arsenal do Daggerfly, incluindo o Mgbot, todos contêm código de uma única biblioteca ou estrutura compartilhada. Elementos dessa biblioteca foram usados para construir ameaças para Windows, macOS, Linux e Android.
Os especialistas também observaram outro malware, rastreado como Suzafk (também conhecido como ‘NetMM’, Nightdoor), no kit de ferramentas do grupo que os pesquisadores da ESET vincularam ao Evasive Panda em março.
O backdoor inclui o código do projeto al-khaser, um repositório de código público desenvolvido para evitar a detecção por meio da detecção de máquinas virtuais, sandboxes e ambientes de análise de malware. O malware também pode executar comandos para monitoramento de rede e sistema, como ‘ipconfig’, ‘systeminfo’, ‘tasklist’ e ‘netstat’.
Via: Security Affairs
