Organisaties in Taiwan en een Amerikaanse niet-gouvernementele organisatie (NGO) gevestigd in China zijn het doelwit geworden van een door de staat gesponsorde hackersgroep die banden heeft met Peking. Dolksteek met behulp van een verbeterde set malwaretools.
De campagne is een teken dat de groep “ook bezig is met interne spionage”, aldus Symantec’s Threat Hunter Team, onderdeel van Broadcom, in een nieuw rapport dat vandaag is gepubliceerd. “Bij de aanval op deze organisatie hebben de aanvallers misbruik gemaakt van een kwetsbaarheid in een Apache HTTP-server om hun MgBot-malware te leveren.”
Daggerfly, ook bekend onder de namen Bronze Highland en Evasive Panda, werd eerder waargenomen met behulp van het modulaire malware-framework MgBot in verband met een missie voor het verzamelen van inlichtingen gericht op telecomproviders in Afrika. Het is operationeel sinds 2012.
“Daggerfly lijkt in staat te zijn om op onthullingen te reageren door zijn toolset snel te updaten, zodat hij zijn spionageactiviteiten met minimale verstoring kan voortzetten”, aldus het bedrijf.
De nieuwste reeks aanvallen wordt gekenmerkt door het gebruik van een nieuwe malwarefamilie gebaseerd op MgBot en een verbeterde versie van een bekende Apple macOS-malware genaamd MACMA. Deze werd voor het eerst in november 2021 door de Threat Analysis Group (TAG) van Google onthuld en verspreid via watering hole-aanvallen die gericht waren op internetgebruikers in Hongkong door misbruik te maken van beveiligingslekken in de Safari-browser.
Het is de eerste keer dat de malware, die gevoelige informatie kan verzamelen en willekeurige opdrachten kan uitvoeren, expliciet aan een specifieke hackersgroep wordt gelinkt.
“De actoren achter macOS.MACMA hergebruikten in ieder geval code van ELF/Android-ontwikkelaars en hadden mogelijk ook Android-telefoons met malware aangevallen”, merkte SentinelOne destijds op in een latere analyse.
De connecties van MACMA met Daggerly komen ook voort uit overlappingen in de broncode van de malware en Mgbot, en het feit dat er verbinding wordt gemaakt met een command-and-control (C2)-server (103.243.212(.)98) die ook door een MgBot-dropper is gebruikt.
Een andere nieuwe malware in het arsenaal is Nightdoor (ook bekend als NetMM en Suzafk), een implantaat dat gebruikmaakt van de Google Drive API voor C2 en sinds ten minste september 2023 wordt gebruikt in watering hole-aanvallen gericht op Tibetaanse gebruikers. Details van de activiteit werden voor het eerst gedocumenteerd door ESET eerder deze maart.
“De groep kan versies van zijn tools maken die gericht zijn op de meeste grote besturingssysteemplatformen”, aldus Symantec, dat eraan toevoegde dat het “bewijs heeft gezien van de mogelijkheid om Android APK’s, SMS-onderscheppingstools, DNS-verzoekonderscheppingstools en zelfs malwarefamilies die gericht zijn op Solaris OS, te trojaniseren.”
De ontwikkeling komt nadat het Chinese National Computer Virus Emergency Response Center (CVERC) heeft verklaard dat Volt Typhoon – dat door de Five Eyes-landen wordt beschouwd als een spionagegroep met een link met China – een uitvinding is van de Amerikaanse inlichtingendiensten. Het CVERC noemt het een desinformatiecampagne.
“Hoewel de belangrijkste doelwitten het Amerikaanse Congres en het Amerikaanse volk zijn, probeert het ook China in diskrediet te brengen, tweedracht te zaaien tussen China en andere landen, de ontwikkeling van China te beperken en Chinese bedrijven te beroven”, zo stelde de CVERC in een recent rapport.
