APT 組織似乎正在使用共享框架來製造 Windows、Linux、macOS 和 Android 威脅。
賽門鐵克威脅情報小組近期發佈了一份關於諜報組織 Daggerfly(又名 Evasive Panda、Bronze Highland)的最新報告。報告指出,該組織針對其惡意軟體工具集進行了大規模更新,推出了多個新版本,很可能是為了應對舊版本的曝光。這些新工具已在近期針對台灣組織和一個位於中國的美國非政府組織的攻擊中被發現,這表明該組織也從事內部間諜活動。
Daggerfly 持續進化、威脅升級
Daggerfly 是一個活躍至少十年的間諜組織,以開發和使用 MgBot 框架而聞名。2023年,Symantec報告了Daggerfly對非洲一家電信運營商的入侵,涉及以前未見過的MgBot Plug-In。
Daggerfly 近期針對其惡意軟體工具集進行了重大更新,推出了多個新版本,以應對舊版本的曝光,並持續進行間諜活動。賽門鐵克威脅情報小組發現,Daggerfly 在近期攻擊中利用了 Apache HTTP 伺服器中的漏洞來傳播其 MgBot 惡意軟體。
Macma:macOS 後門程式持續更新
其中一個更新是 Macma,這是一個 macOS 後門程式,首次由 Google 在 2021 年記錄,但似乎至少從 2019 年就開始使用。 賽門鐵克威脅情報小組發現證據表明 Macma 是由 Daggerfly 開發的,並發現了該組織對 Macma 後門程式進行了更新。更新後的 Macma 包含不同的主要模組、更新的模組、檔案目錄路徑和檔案名,以及額外的偵錯日誌記錄。其中一個版本甚至包含基於公開可用的 Linux/Unix 工具 Tree 的新邏輯,用於收集檔案的系統清單。
Macma是一個模組化後門,其功能包括:
設備指紋識別
執行命令
屏幕截圖
鍵盤記錄
音頻錄製
上傳和下載文件
賽門鐵克發現的 Macma 最新變種顯示出持續開發的證據。一個版本(SHA256:003764fd74bf13cff9bf1ddd870cbf593b23e2b584ba4465114023870ea6fbef)包含不同的主模組(SHA256:1f5e4d2f714785186866b 0db424f84a5e) 到先前記錄的版本。主要區別在於充當配置資料的字串(參見圖 1)。
Macma 的第二個版本(SHA256:dad13b0a9f5fde7bcdda3e5afa10e7d83af0ff39288b9f11a725850b1e6f6313)包含似乎是對現有功能的增量更新。一些已確定的更新包括:
更新了附加資料中的模組
更新了檔案目錄路徑和檔案名稱(以及建置要啟動的進程的命令列時的相關字串引號)
附加偵錯日誌記錄
其主模組(SHA256:fce66c26deff6a5b7320842bc5fa8fe12db991efe6e3edc9c63ffaa3cc5b8ced)顯示出更廣泛修改的證據。這包括:
收集檔案系統清單的新邏輯,以及基於 Tree( 一種公開可用的 Linux/Unix 實用程式)的新程式碼。
修改了 AudioRecorderHelper 功能中的程式碼
附加參數化
附加偵錯日誌記錄
新增檔案 - param2.ini - 與名為「autoScreenCaptureInfo」的功能的設定相關
除此之外,它還有包含配置資料的不同字串(請參閱圖 1)。
此變體的另一個模組(SHA256:eff1c078895bbb76502f1bbad12be6aa23914a4d208859d848d5f087da8e35e0)包含修改後的程式碼,用於調整創建的螢幕捕獲的大小,這顯然與調整大小時的高比有關。
證據指向 Daggerfly
儘管 Macma 被廣泛認為與進階持續性威脅 (APT) 活動有關,但迄今為止尚未與特定組織建立關聯。然而,賽門鐵克發現證據表明它是 Daggerfly 工具包的一部分。 證據包括:
Macma 的兩個變種連接到了一個命令與控制 (C&C) 伺服器 (103.243.212[.]98),該伺服器也被一個 MgBot 載入程式使用。
Macma 和其他已知的 Daggerfly 惡意軟體(包括 MgBot)都包含來自單個共享庫或框架的代碼。
這些共享庫的元素已被用於構建 Windows、macOS、Linux 和 Android 威脅。賽門鐵克尚未在公共存儲庫中找到任何匹配的代碼。Macma 與其他 Daggerfly 工具之間的共享代碼和共享基礎設施表明,Macma 也是 Daggerfly 工具包的一部分。
新型後門程式 Trojan.Suzafk
Daggerfly 工具包的新增功能是一個 Windows 後門程式 (Trojan.Suzafk),該程式於 2024 年 3 月由 ESET 首次記錄為 Nightdoor(又名 NetMM),當時觀察到它與 Mgbot 一起使用。Suzafk 是使用與 Mgbot、Macma 和許多其他 Daggerfly 工具相同的共享庫開發的。Suzafk 是一個多階段後門程式,能夠使用 TCP 或 OneDrive 進行 C&C 通信。 該惡意軟體包含以下配置,表明連接到 OneDrive 的功能正在開發中或存在於該惡意軟體的其他變種中:
ReadMe=ConnONEDRIVE;Version=256;Tag=15ad490f332f3d9a;DownloadUrl=http://103.96.131.150:19876/30_1410402971.exe;token={"refresh_token":"REDACTED","client_id":"4aa6708f-f3c8-4511-8118-5a7208be6a44","client_secret":"REDACTED"};DownloaderSavePath=C:\Programdata\Office\;HttpServerFolder=C:\Program Files\Common Files\Cloudata\;
後門中還存在另一種使用 TCP 連線進行 C&C 目的的設定:
ReadMe=ConnTCP;Version=256;Tag=15ad490f332f3d9a;DownloadUrl=http://103.96.131.150:19876/30_1292836936.exe;IP=103.96.131.150;Port=40020;DownloaderSavePath=C:\\Programdata\\Office\\;HttpServerFolder=C:\\Program Files\\Common Files\\Cloudata\\;
載入程式(SHA256:5687b32cdd5c4d1b3e928ee0792f6ec43817883721f9b86ec8066c5ec2791595)會釋放兩個檔案:Engine.dll和MeitUD.exe。 MeituUD.exe 是一個名為 DAEMON Tools Lite Helper 的合法應用程式。 Engine.dll 是一個載入程式 DLL,它透過排程任務設定持久性並將最終有效負載載入到記憶體中。
該後門嵌入了 al-khaser 專案的程式碼,該專案是一個公共程式碼儲存庫,旨在檢測虛擬機器、沙箱和惡意軟體分析環境。它還會建立資料夾 C:\ProgramData\Office\EFir 和 C:\ProgramData\Office\Temps 並將其他網路設定資料儲存在使用金鑰 0x7A 進行 XOR 加密的 C:\ProgramData\Office\sysmgr 檔案下。
明文網路配置有以下參數和值:
[InfoRecord]
CMD_SEND_SN=0
LOCAL_CALENDAR
SEND_EMAIL_NUM=0
LOCAL_MAC_ADDR=[mac address]
PROXY_INFO
[CtrlTermKey]
KEY
BSK=[sha256 value]
PRK=[sha256 value]
[CtrlTermKeyStatus]
STATUS=1
[CtrlTermKeyVer]
VER=1
[ManageTermKey]
[ManageTermKeyStatus]
[ManageTermKeyVer]
[ManageTermServerInfoOffset]
[ManageTermEmailTo]
[ManageTermUseCreateCloudDirAlgorithm]
接下來,惡意軟體會建立一個 cmd.exe shell,透過開放管道發送和接收來自 C&C 伺服器 (103.96.131[.]150) 的命令。此外,還可以執行以下命令:
ipconfig
systeminfo
tasklist
netstat
Daggerfly:資源豐富、威脅多元
新發現更清楚地描繪了 Daggerfly 背後的資源和能力。該組織可以創建針對大多數主要操作系統平台的工具版本。除了本文檔中記錄的工具外,賽門鐵克還發現了該組織能夠對 Android APK、簡訊攔截工具、DNS 請求攔截工具,甚至是針對 Solaris 作業系統的惡意軟體家族進行木馬化。Daggerfly 似乎能夠通過快速更新其工具集來應對曝光,從而以最小的中斷繼續其間諜活動。
防護與建議:
建議企業和個人用戶採取以下措施來防範 Daggerfly 的攻擊:
●將所有軟體更新至最新版本,包括作業系統、瀏覽器和應用程式。
●警惕釣魚郵件,不要點擊來自未知發件人的連結或附件。
●使用強密碼,並為不同的帳戶設置不同的密碼。
●部署安全軟體,例如防毒軟體和防火牆,並確保其保持最新狀態。
●對員工進行安全意識培訓,讓他們了解最新的網路威脅和防範措施。
結論
Daggerfly 是一個高度複雜且資源豐富的間諜組織,對全球組織構成嚴重威脅。該組織不斷更新其工具和技術,以繞過安全防護措施。了解 Daggerfly 的攻擊策略和技術對於防範其攻擊至關重要。
保護/緩解
欲了解最新的保護更新,請訪問Symantec保護公告。
威脅指標 (IOC)
如果某個IOC是惡意的,且我們可以獲取該文件,Symantec端點產品將會檢測並阻止該文件。
IOC | Description |
003764fd74bf13cff9bf1ddd870cbf593b23e2b584ba4465114023870ea6fbef | Macma |
1f5e4d2f71478518fe76b0efbb75609d3fb6cab06d1b021d6aa30db424f84a5e | "UserAgent" Macma component |
dad13b0a9f5fde7bcdda3e5afa10e7d83af0ff39288b9f11a725850b1e6f6313 | Macma |
570cd76bf49cf52e0cb347a68bdcf0590b2eaece134e1b1eba7e8d66261bdbe6 | "kAgent" Macma component |
eff1c078895bbb76502f1bbad12be6aa23914a4d208859d848d5f087da8e35e0 | "arch" Macma component |
d8a49e688f214553a7525be96cadddec224db19bae3771d14083a2c4c45f28eb | "at" Macma component |
955cee70c82bb225ca2b108f987fbb245c48eefe9dc53e804bbd9d55578ea3a4 | "com.USAgent.mv.plist" Macma component |
fce66c26deff6a5b7320842bc5fa8fe12db991efe6e3edc9c63ffaa3cc5b8ced | "USAgent" Macma component |
5687b32cdd5c4d1b3e928ee0792f6ec43817883721f9b86ec8066c5ec2791595 | Trojan.Suzafk dropper |
49079ea789e75736f8f8fad804da4a99db52cbaca21e1d2b6d6e1ea4db56faad | Trojan.Suzafk DLL |
5c52e41090cdd13e0bfa7ec11c283f5051347ba02c9868b4fddfd9c3fc452191 | Trojan.Suzafk unpacked |
4c3b9a568d8911a2a256fdc2ebe9ff5911a6b2b63c7784da08a4daf692e93c1a | Linux malware with Daggerfly library |
ef9aebcd9022080189af8aa2fb0b6594c3dfdc862340f79c17fb248e51fc9929 | Linux malware with Daggerfly library |
0cabb6780b804d4ee285b0ddb00b02468f91b218bd2db2e2310c90471f7f8e74 | Linux malware with Daggerfly library |
3894a8b82338791764524fddac786a2c5025cad37175877959a06c372b96ef05 | Linux malware with Daggerfly library |
3a6605266184d967ab4643af2c73dafb8b7724d21c7aa69e58d78b84ebc06612 | Linux malware with Daggerfly library |
65441ea5a7c0d08c1467e9154312ac9d3fdd3ca9188b4234b5944b767d135074 | Linux malware with Daggerfly library |
103.243.212[.]98 | Macma and MgBot C&C server |
103.96.131[.]150 | Trojan.Suzafk C&C server |
103.96.128[.]44 | MgBot C&C server |
原文出處 Symatnec Enterprise Blogs
Commentaires