Шпионская группа Daggerfly, также известная как Evasive Panda или Bronze Highland, значительно обновила свой инструментарий, представив новые версии вредоносного ПО, вероятно, в ответ на разоблачение старых вариантов.
Daggerfly APT
Обновленный инструментарий был недавно задействован в атаках на организации Тайваня и американскую неправительственную организацию, базирующуюся в Китае, что свидетельствует о внутреннем шпионаже. В этих атаках Daggerfly использовала уязвимость в HTTP-сервере Apache для доставки своего вредоносного ПО MgBot.
Обновленный арсенал Daggerfly включает новое семейство вредоносных программ на основе фреймворка MgBot и новую версию бэкдора Macma для macOS. Исследование Symantec связывает Macma, авторство которого ранее было неизвестно, с Daggerfly. Macma - это модульный бэкдор с такими функциями, как отпечатки пальцев устройств, выполнение команд и кейлоггинг. Последние варианты демонстрируют постоянное развитие, в них добавлены такие обновления, как новая логика для листинга файловой системы и дополнительное ведение отладочного журнала.
Symantec также обнаружила новый бэкдор для Windows под названием Suzafk (также известный как Nightdoor), разработанный с использованием той же общей библиотеки, что и MgBot и Macma. Suzafk может использовать TCP или OneDrive для управления и включает такие функции, как настройка постоянства через запланированные задачи и обнаружение виртуальных машин.
Обширные обновления и новые инструменты подчеркивают способность Daggerfly атаковать множество операционных систем, включая Windows, macOS, Linux, Android и Solaris.
Способность группировки быстро адаптировать и совершенствовать свой набор инструментов после разоблачения свидетельствует о ее сложных ресурсах и настойчивых усилиях по шпионажу.
Indicators of Compromise
SHA256
- 003764fd74bf13cff9bf1ddd870cbf593b23e2b584ba4465114023870ea6fbef
- 0cabb6780b804d4ee285b0ddb00b02468f91b218bd2db2e2310c90471f7f8e74
- 1f5e4d2f71478518fe76b0efbb75609d3fb6cab06d1b021d6aa30db424f84a5e
- 3894a8b82338791764524fddac786a2c5025cad37175877959a06c372b96ef05
- 3a6605266184d967ab4643af2c73dafb8b7724d21c7aa69e58d78b84ebc06612
- 49079ea789e75736f8f8fad804da4a99db52cbaca21e1d2b6d6e1ea4db56faad
- 4c3b9a568d8911a2a256fdc2ebe9ff5911a6b2b63c7784da08a4daf692e93c1a
- 5687b32cdd5c4d1b3e928ee0792f6ec43817883721f9b86ec8066c5ec2791595
- 570cd76bf49cf52e0cb347a68bdcf0590b2eaece134e1b1eba7e8d66261bdbe6
- 5c52e41090cdd13e0bfa7ec11c283f5051347ba02c9868b4fddfd9c3fc452191
- 65441ea5a7c0d08c1467e9154312ac9d3fdd3ca9188b4234b5944b767d135074
- 955cee70c82bb225ca2b108f987fbb245c48eefe9dc53e804bbd9d55578ea3a4
- d8a49e688f214553a7525be96cadddec224db19bae3771d14083a2c4c45f28eb
- dad13b0a9f5fde7bcdda3e5afa10e7d83af0ff39288b9f11a725850b1e6f6313
- ef9aebcd9022080189af8aa2fb0b6594c3dfdc862340f79c17fb248e51fc9929
- eff1c078895bbb76502f1bbad12be6aa23914a4d208859d848d5f087da8e35e0
- fce66c26deff6a5b7320842bc5fa8fe12db991efe6e3edc9c63ffaa3cc5b8ced