Afrika’daki telekomünikasyon hizmetleri sağlayıcıları, en azından Kasım 2022’den bu yana Çin bağlantılı bir tehdit aktörü tarafından düzenlenen yeni bir kampanyanın hedefi.
İzinsiz girişler, Symantec tarafından takip edilen bir bilgisayar korsanlığı ekibine sabitlendi. hançer sineğive ayrıca Bronze Highland ve Evasive Panda gibi daha geniş siber güvenlik topluluğu tarafından da izleniyor.
Kampanya, siber güvenlik şirketi “MgBot kötü amaçlı yazılım çerçevesinden daha önce görülmemiş eklentileri” kullanıyor. söz konusu The Hacker News ile paylaşılan bir raporda. “Saldırganların ayrıca bir PlugX yükleyici kullandığı ve meşru AnyDesk uzak masaüstü yazılımını kötüye kullandığı görüldü.”
Daggerfly’ın kullanımı MgBot yükleyici (aka BLame veya MgmBot) öne çıkan Malwarebytes tarafından Temmuz 2020’de Hindistan hükümet personeline ve Hong Kong’daki bireylere yönelik kimlik avı saldırılarının bir parçası olarak.
göre bir profil Secureworks tarafından yayınlanan tehdit aktörü, MgBot’un yanı sıra meşru bir düşman simülasyon yazılımı olan Cobalt Strike ve KsRemote adlı Android tabanlı bir uzaktan erişim truva atı (RAT) gibi diğer araçları düşürmek için ilk bulaşma vektörü olarak spear-phishing’i kullanıyor.
Grubun, yerel insan hakları ve demokrasi yanlısı savunuculara ve Çin’e komşu ülkelere karşı 2014 yılına kadar casusluk faaliyetleri yürüttüğünden şüpheleniliyor.
Symantec tarafından analiz edilen saldırı zincirleri, arazide yaşama (LotL) araçları beğenmek BITSAdmin Ve Güç kalkanı Meşru bir AnyDesk yürütülebilir dosyası ve bir kimlik bilgisi toplama yardımcı programı dahil olmak üzere sonraki aşama yüklerini teslim etmek için.
Tehdit aktörü daha sonra yerel bir hesap oluşturarak kurban sistemde kalıcılık oluşturmak için harekete geçer ve tarayıcı verilerini toplamak, tuş vuruşlarını günlüğe kaydetmek, ekran görüntüleri yakalamak, ses kaydetmek ve Aktif Dizin hizmeti.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Symantec, “Tüm bu yetenekler, saldırganların kurban makinelerden önemli miktarda bilgi toplamasına izin verirdi.” Dedi. “Bu eklentilerin yetenekleri, bu kampanya sırasında saldırganların asıl amacının bilgi toplamak olduğunu da gösteriyor.”
MgBot’un her şeyi kapsayan doğası, kurban ortamlarına erişim elde etmek için operatörler tarafından aktif olarak sürdürüldüğünü ve güncellendiğini gösterir.
Açıklama, SentinelOne’ın Orta Doğu’daki telekomünikasyon sağlayıcılarını hedefleyen 2023’ün 1. çeyreğinde Tainted Love adlı bir kampanyayı detaylandırmasından yaklaşık bir ay sonra geldi. Gallium (namı diğer Othorene) ile örtüşen paylaşımları paylaşan Çinli bir siber casusluk grubuna atfedildi.
Symantec ayrıca, aynı faaliyet kümesinin Asya ve Afrika’da bulunan üç ek kurbanı tespit ettiğini söyledi. Kasım 2022’de ihlal edilen kurbanlardan ikisi, Orta Doğu bölgesindeki bir telekom şirketinin yan kuruluşları.
Symantec, “Telekom şirketleri, potansiyel olarak son kullanıcıların iletişimine sağlayabilecekleri erişim nedeniyle istihbarat toplama kampanyalarında her zaman kilit bir hedef olacaktır.” Dedi.