- 9,320
- 18
- 8 Ноя 2022
Телекоммуникационные компании в Африке стали жертвами новых шпионских инструментов китайских хакеров.
Специалисты Symantec Для просмотра ссылки Войдиили Зарегистрируйся , что связанная с Китаем группировка Daggerfly с ноября 2022 года атакует телекоммуникационные компании в Африке с целью сбора разведывательных данных.
Кампания Daggerfly (Bronze Highland, Evasive Panda) использует ранее незадокументированные плагины из модульной вредоносной среды MgBot . Злоумышленники также использовали загрузчик PlugX и злоупотребляли легитимным ПО для удаленного подключения к рабочему столу AnyDesk.
В обнаруженных цепочках атак Daggerfly проводит LotL-атаку (Living off the Land), используя Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся и PowerShell для доставки полезной нагрузки следующего этапа, в том числе законный исполняемый файл AnyDesk и утилиту для сбора учетных данных.
Затем киберпреступник устанавливает постоянство в системе жертвы, создавая локальную учетную запись и развертывая фреймворк MgBot. MgBot — активно поддерживаемая модульная структура, которая включает в себя EXE- дроппер , DLL -загрузчик и подключаемые плагины.
Многофункциональные плагины MgBot могут предоставить злоумышленникам значительный объем информации о скомпрометированной машине. Модули выполняют следующие действия:
«Все перечисленные возможности позволяют хакерам собрать значительный объем информации с компьютеров-жертв. Функции плагинов также показывают, что основной целью злоумышленников в этой кампании является сбор данных», — заявили в Symantec.
Телекоммуникационные компании всегда будут главной целью шпионских кампаний из-за потенциального доступа, который они могут предоставить к коммуникациям конечных пользователей.
Специалисты Symantec Для просмотра ссылки Войди
Кампания Daggerfly (Bronze Highland, Evasive Panda) использует ранее незадокументированные плагины из модульной вредоносной среды MgBot . Злоумышленники также использовали загрузчик PlugX и злоупотребляли легитимным ПО для удаленного подключения к рабочему столу AnyDesk.
В обнаруженных цепочках атак Daggerfly проводит LotL-атаку (Living off the Land), используя Для просмотра ссылки Войди
Затем киберпреступник устанавливает постоянство в системе жертвы, создавая локальную учетную запись и развертывая фреймворк MgBot. MgBot — активно поддерживаемая модульная структура, которая включает в себя EXE- дроппер , DLL -загрузчик и подключаемые плагины.
Многофункциональные плагины MgBot могут предоставить злоумышленникам значительный объем информации о скомпрометированной машине. Модули выполняют следующие действия:
- сбор данных браузера;
- регистрация нажатий клавиш (кейлоггинг);
- захват снимков экрана;
- запись звука;
- перечисление каталогов Active Directory (Active Directory Enumeration).
«Все перечисленные возможности позволяют хакерам собрать значительный объем информации с компьютеров-жертв. Функции плагинов также показывают, что основной целью злоумышленников в этой кампании является сбор данных», — заявили в Symantec.
Телекоммуникационные компании всегда будут главной целью шпионских кампаний из-за потенциального доступа, который они могут предоставить к коммуникациям конечных пользователей.
- Источник новости
- www.securitylab.ru
