Il gruppo di spionaggio Daggerfly, noto anche come Evasive Panda e Bronze Highland, ha aggiornato il suo arsenale cibernetico in risposta alla divulgazione pubblica delle sue varianti di malware più vecchie. Secondo il rapporto del Symantec Threat Hunter Team, questi aggiornamenti sono stati osservati in attacchi contro organizzazioni a Taiwan e una ONG statunitense con sede in Cina, suggerendo attività di spionaggio interno.
Nuovi strumenti e aggiornamenti
Tra le nuove aggiunte all’arsenale di Daggerfly si evidenziano:
- Nuova famiglia di malware basata su MgBot:
- Framework modulare che consente funzionalità avanzate e flessibili.
- Nuova versione del Macma macOS backdoor:
- Attribuita a Daggerfly da Symantec.
- Documentata inizialmente da Google nel 2021, ma in uso dal 2019.
- Distribuita tramite attacchi “watering hole” a Hong Kong, sfruttando la vulnerabilità di escalation dei privilegi CVE-2021-30869.
- Funzionalità: fingerprinting del dispositivo, esecuzione di comandi, cattura dello schermo, keylogging, cattura audio, caricamento e download di file.
- Aggiornamenti recenti: dati di configurazione del modulo principale differenti, aggiornamenti incrementali delle funzionalità, nuovi moduli e percorsi di file, miglioramenti nel debug logging, nuova logica per la raccolta dell’elenco dei file di sistema basata sull’utility Linux/Unix “Tree”, e un nuovo file di configurazione param2.ini per la funzione “autoScreenCaptureInfo”.
Attribuzione e infrastruttura condivisa
- Macma è stato collegato a un server di comando e controllo (C&C) utilizzato anche da un dropper MgBot.
- Condivisione di infrastruttura e codice tra Macma e altri strumenti di Daggerfly, compresi threading, notifiche di eventi e astrazioni indipendenti dalla piattaforma.
Nuova backdoor per Windows: Trojan.Suzafk
- Documentato da ESET nel marzo 2024 come Nightdoor (alias NetMM).
- Sviluppato utilizzando la stessa libreria condivisa di MgBot e Macma.
- Backdoor multi-stadio che utilizza TCP o OneDrive per il C&C.
- Carica Engine.dll e MeitUD.exe, quest’ultimo è un’applicazione legittima utilizzata per la persistenza e il caricamento del payload.
- Include codice dal progetto al-khaser per il rilevamento di macchine virtuali e ambienti di analisi malware.
- Crea cartelle specifiche e memorizza dati di configurazione di rete criptati con XOR utilizzando la chiave 0x7A.
- Esegue comandi come ipconfig, systeminfo, tasklist e netstat tramite una shell cmd.exe.
Capacità e piattaforme target
- Daggerfly è in grado di prendere di mira principali sistemi operativi, inclusi Windows, macOS, Linux e Android.
- Capacità aggiuntive: trojanizzazione di APK Android, intercettazione di messaggi SMS e richieste DNS, sviluppo di malware per Solaris OS.
Daggerfly continua ad evolversi, sviluppando e aggiornando strumenti sofisticati per mantenere la sua efficacia in operazioni di spionaggio cibernetico su più piattaforme. La sua abilità di adattarsi e migliorare i suoi malware rappresenta sempre una minaccia significativa per la sicurezza informatica a livello globale.