top of page

Daggerfly間諜組織工具組全面更新升級:台灣組織成攻擊目標

APT 組織似乎正在使用共享框架來製造 Windows、Linux、macOS 和 Android 威脅。

賽門鐵克威脅情報小組近期發佈了一份關於諜報組織 Daggerfly(又名 Evasive Panda、Bronze Highland)的最新報告。報告指出,該組織針對其惡意軟體工具集進行了大規模更新,推出了多個新版本,很可能是為了應對舊版本的曝光。這些新工具已在近期針對台灣組織和一個位於中國的美國非政府組織的攻擊中被發現,這表明該組織也從事內部間諜活動。


Daggerfly 持續進化、威脅升級

 Daggerfly 是一個活躍至少十年的間諜組織,以開發和使用 MgBot 框架而聞名。2023年,Symantec報告了Daggerfly對非洲一家電信運營商的入侵,涉及以前未見過的MgBot Plug-In。


Daggerfly 近期針對其惡意軟體工具集進行了重大更新,推出了多個新版本,以應對舊版本的曝光,並持續進行間諜活動。賽門鐵克威脅情報小組發現,Daggerfly 在近期攻擊中利用了 Apache HTTP 伺服器中的漏洞來傳播其 MgBot 惡意軟體。


Macma:macOS 後門程式持續更新

其中一個更新是 Macma,這是一個 macOS 後門程式,首次由 Google 在 2021 年記錄,但似乎至少從 2019 年就開始使用。 賽門鐵克威脅情報小組發現證據表明 Macma 是由 Daggerfly 開發的,並發現了該組織對 Macma 後門程式進行了更新。更新後的 Macma 包含不同的主要模組、更新的模組、檔案目錄路徑和檔案名,以及額外的偵錯日誌記錄。其中一個版本甚至包含基於公開可用的 Linux/Unix 工具 Tree 的新邏輯,用於收集檔案的系統清單。


Macma是一個模組化後門,其功能包括:

  • 設備指紋識別

  • 執行命令

  • 屏幕截圖

  • 鍵盤記錄

  • 音頻錄製

  • 上傳和下載文件

賽門鐵克發現的 Macma 最新變種顯示出持續開發的證據。一個版本(SHA256:003764fd74bf13cff9bf1ddd870cbf593b23e2b584ba4465114023870ea6fbef)包含不同的主模組(SHA256:1f5e4d2f714785186866b 0db424f84a5e) 到先前記錄的版本。主要區別在於充當配置資料的字串(參見圖 1)。 


Macma 的第二個版本(SHA256:dad13b0a9f5fde7bcdda3e5afa10e7d83af0ff39288b9f11a725850b1e6f6313)包含似乎是對現有功能的增量更新。一些已確定的更新包括:

  • 更新了附加資料中的模組

  • 更新了檔案目錄路徑和檔案名稱(以及建置要啟動的進程的命令列時的相關字串引號)

  • 附加偵錯日誌記錄


其主模組(SHA256:fce66c26deff6a5b7320842bc5fa8fe12db991efe6e3edc9c63ffaa3cc5b8ced)顯示出更廣泛修改的證據。這包括:

  • 收集檔案系統清單的新邏輯,以及基於 Tree( 一種公開可用的 Linux/Unix 實用程式的新程式碼。 

  • 修改了 AudioRecorderHelper 功能中的程式碼

  • 附加參數化

  • 附加偵錯日誌記錄

  • 新增檔案 - param2.ini - 與名為「autoScreenCaptureInfo」的功能的設定相關


除此之外,它還有包含配置資料的不同字串(請參閱圖 1)。

此變體的另一個模組(SHA256:eff1c078895bbb76502f1bbad12be6aa23914a4d208859d848d5f087da8e35e0)包含修改後的程式碼,用於調整創建的螢幕捕獲的大小,這顯然與調整大小時的高比有關。

圖 1. Objective-See 於 2021 年記錄的 Macma 變體主模組中的配置字串(上)以及賽門鐵克發現的兩個新 Macma 變體主模組中的字串(中和下)。
圖 1. Objective-See 於 2021 年記錄的 Macma 變體主模組中的配置字串(上)以及賽門鐵克發現的兩個新 Macma 變體主模組中的字串(中和下)。

證據指向 Daggerfly

 儘管 Macma 被廣泛認為與進階持續性威脅 (APT) 活動有關,但迄今為止尚未與特定組織建立關聯。然而,賽門鐵克發現證據表明它是 Daggerfly 工具包的一部分。 證據包括:


  • Macma 的兩個變種連接到了一個命令與控制 (C&C) 伺服器 (103.243.212[.]98),該伺服器也被一個 MgBot 載入程式使用。

  • Macma 和其他已知的 Daggerfly 惡意軟體(包括 MgBot)都包含來自單個共享庫或框架的代碼。


這些共享庫的元素已被用於構建 Windows、macOS、Linux 和 Android 威脅。賽門鐵克尚未在公共存儲庫中找到任何匹配的代碼。Macma 與其他 Daggerfly 工具之間的共享代碼和共享基礎設施表明,Macma 也是 Daggerfly 工具包的一部分。


新型後門程式 Trojan.Suzafk

Daggerfly 工具包的新增功能是一個 Windows 後門程式 (Trojan.Suzafk),該程式於 2024 年 3 月由 ESET 首次記錄為 Nightdoor(又名 NetMM),當時觀察到它與 Mgbot 一起使用。Suzafk 是使用與 Mgbot、Macma 和許多其他 Daggerfly 工具相同的共享庫開發的。Suzafk 是一個多階段後門程式,能夠使用 TCP 或 OneDrive 進行 C&C 通信。 該惡意軟體包含以下配置,表明連接到 OneDrive 的功能正在開發中或存在於該惡意軟體的其他變種中:

ReadMe=ConnONEDRIVE;Version=256;Tag=15ad490f332f3d9a;DownloadUrl=http://103.96.131.150:19876/30_1410402971.exe;token={"refresh_token":"REDACTED","client_id":"4aa6708f-f3c8-4511-8118-5a7208be6a44","client_secret":"REDACTED"};DownloaderSavePath=C:\Programdata\Office\;HttpServerFolder=C:\Program Files\Common Files\Cloudata\;


後門中還存在另一種使用 TCP 連線進行 C&C 目的的設定:

ReadMe=ConnTCP;Version=256;Tag=15ad490f332f3d9a;DownloadUrl=http://103.96.131.150:19876/30_1292836936.exe;IP=103.96.131.150;Port=40020;DownloaderSavePath=C:\\Programdata\\Office\\;HttpServerFolder=C:\\Program Files\\Common Files\\Cloudata\\;


載入程式(SHA256:5687b32cdd5c4d1b3e928ee0792f6ec43817883721f9b86ec8066c5ec2791595)會釋放兩個檔案:Engine.dll和MeitUD.exe。 MeituUD.exe 是一個名為 DAEMON Tools Lite Helper 的合法應用程式。 Engine.dll 是一個載入程式 DLL,它透過排程任務設定持久性並將最終有效負載載入到記憶體中。


該後門嵌入了 al-khaser 專案的程式碼,該專案是一個公共程式碼儲存庫,旨在檢測虛擬機器、沙箱和惡意軟體分析環境。它還會建立資料夾 C:\ProgramData\Office\EFir 和 C:\ProgramData\Office\Temps 並將其他網路設定資料儲存在使用金鑰 0x7A 進行 XOR 加密的 C:\ProgramData\Office\sysmgr 檔案下。

明文網路配置有以下參數和值:

[InfoRecord]

CMD_SEND_SN=0

LOCAL_CALENDAR

SEND_EMAIL_NUM=0

LOCAL_MAC_ADDR=[mac address]

PROXY_INFO

[CtrlTermKey]

KEY

BSK=[sha256 value]

PRK=[sha256 value]

[CtrlTermKeyStatus]

STATUS=1

[CtrlTermKeyVer]

VER=1

[ManageTermKey]

[ManageTermKeyStatus]

[ManageTermKeyVer]

[ManageTermServerInfoOffset]

[ManageTermEmailTo]

[ManageTermUseCreateCloudDirAlgorithm]


接下來,惡意軟體會建立一個 cmd.exe shell,透過開放管道發送和接收來自 C&C 伺服器 (103.96.131[.]150) 的命令。此外,還可以執行以下命令:

ipconfig

systeminfo

tasklist

netstat

Daggerfly:資源豐富、威脅多元

 新發現更清楚地描繪了 Daggerfly 背後的資源和能力。該組織可以創建針對大多數主要操作系統平台的工具版本。除了本文檔中記錄的工具外,賽門鐵克還發現了該組織能夠對 Android APK、簡訊攔截工具、DNS 請求攔截工具,甚至是針對 Solaris 作業系統的惡意軟體家族進行木馬化。Daggerfly 似乎能夠通過快速更新其工具集來應對曝光,從而以最小的中斷繼續其間諜活動。


防護與建議:

建議企業和個人用戶採取以下措施來防範 Daggerfly 的攻擊:

●將所有軟體更新至最新版本,包括作業系統、瀏覽器和應用程式。

●警惕釣魚郵件,不要點擊來自未知發件人的連結或附件。

●使用強密碼,並為不同的帳戶設置不同的密碼。

●部署安全軟體,例如防毒軟體和防火牆,並確保其保持最新狀態。

●對員工進行安全意識培訓,讓他們了解最新的網路威脅和防範措施。


結論

Daggerfly 是一個高度複雜且資源豐富的間諜組織,對全球組織構成嚴重威脅。該組織不斷更新其工具和技術,以繞過安全防護措施。了解 Daggerfly 的攻擊策略和技術對於防範其攻擊至關重要。


保護/緩解

欲了解最新的保護更新,請訪問Symantec保護公告


威脅指標 (IOC)

如果某個IOC是惡意的,且我們可以獲取該文件,Symantec端點產品將會檢測並阻止該文件。

IOC

Description

003764fd74bf13cff9bf1ddd870cbf593b23e2b584ba4465114023870ea6fbef

Macma

1f5e4d2f71478518fe76b0efbb75609d3fb6cab06d1b021d6aa30db424f84a5e

"UserAgent" Macma component

dad13b0a9f5fde7bcdda3e5afa10e7d83af0ff39288b9f11a725850b1e6f6313

Macma

570cd76bf49cf52e0cb347a68bdcf0590b2eaece134e1b1eba7e8d66261bdbe6

"kAgent" Macma component

eff1c078895bbb76502f1bbad12be6aa23914a4d208859d848d5f087da8e35e0

"arch" Macma component

d8a49e688f214553a7525be96cadddec224db19bae3771d14083a2c4c45f28eb

"at" Macma component

955cee70c82bb225ca2b108f987fbb245c48eefe9dc53e804bbd9d55578ea3a4

"com.USAgent.mv.plist" Macma component

fce66c26deff6a5b7320842bc5fa8fe12db991efe6e3edc9c63ffaa3cc5b8ced

"USAgent" Macma component

5687b32cdd5c4d1b3e928ee0792f6ec43817883721f9b86ec8066c5ec2791595

Trojan.Suzafk dropper

49079ea789e75736f8f8fad804da4a99db52cbaca21e1d2b6d6e1ea4db56faad

Trojan.Suzafk DLL

5c52e41090cdd13e0bfa7ec11c283f5051347ba02c9868b4fddfd9c3fc452191

Trojan.Suzafk unpacked

4c3b9a568d8911a2a256fdc2ebe9ff5911a6b2b63c7784da08a4daf692e93c1a

Linux malware with Daggerfly library

ef9aebcd9022080189af8aa2fb0b6594c3dfdc862340f79c17fb248e51fc9929

Linux malware with Daggerfly library

0cabb6780b804d4ee285b0ddb00b02468f91b218bd2db2e2310c90471f7f8e74

Linux malware with Daggerfly library

3894a8b82338791764524fddac786a2c5025cad37175877959a06c372b96ef05

Linux malware with Daggerfly library

3a6605266184d967ab4643af2c73dafb8b7724d21c7aa69e58d78b84ebc06612

Linux malware with Daggerfly library

65441ea5a7c0d08c1467e9154312ac9d3fdd3ca9188b4234b5944b767d135074

Linux malware with Daggerfly library

103.243.212[.]98

Macma and MgBot C&C server

103.96.131[.]150

Trojan.Suzafk C&C server

103.96.128[.]44

MgBot C&C server


原文出處 Symatnec Enterprise Blogs

Commentaires


bottom of page