Специалисты Symantec сообщают , что связанная с Китаем группировка Daggerfly с ноября 2022 года атакует телекоммуникационные компании в Африке с целью сбора разведывательных данных.
Кампания Daggerfly (Bronze Highland, Evasive Panda) использует ранее незадокументированные плагины из модульной вредоносной среды MgBot. Злоумышленники также использовали загрузчик PlugX и злоупотребляли легитимным ПО для удаленного подключения к рабочему столу AnyDesk.
В обнаруженных цепочках атак Daggerfly проводит LotL-атаку (Living off the Land), используя средство BITSAdmin и PowerShell для доставки полезной нагрузки следующего этапа, в том числе законный исполняемый файл AnyDesk и утилиту для сбора учетных данных.
Затем киберпреступник устанавливает постоянство в системе жертвы, создавая локальную учетную запись и развертывая фреймворк MgBot. MgBot – активно поддерживаемая модульная структура, которая включает в себя EXE-дроппер, DLL-загрузчик и подключаемые плагины.
Многофункциональные плагины MgBot могут предоставить злоумышленникам значительный объем информации о скомпрометированной машине. Модули выполняют следующие действия:
- сбор данных браузера;
- регистрация нажатий клавиш (кейлоггинг);
- захват снимков экрана;
- запись звука;
- перечисление каталогов Active Directory (Active Directory Enumeration).
“Все перечисленные возможности позволяют хакерам собрать значительный объем информации с компьютеров-жертв. Функции плагинов также показывают, что основной целью злоумышленников в этой кампании является сбор данных”, – заявили в Symantec.
Телекоммуникационные компании всегда будут главной целью шпионских кампаний из-за потенциального доступа, который они могут предоставить к коммуникациям конечных пользователей.