Provedores de serviços de telecomunicações na África são o alvo de uma nova campanha orquestrada por um ator de ameaça ligado à China pelo menos desde novembro de 2022.
As intrusões foram atribuídas a uma equipe de hackers rastreada pela Symantec como Daggerfly e também rastreada pela comunidade de cibersegurança mais ampla como Bronze Highland e Evasive Panda.
A campanha usa "plugins nunca antes vistos do framework de malware MgBot", disse a empresa de cibersegurança em um relatório compartilhado com o The Hacker News.
"Os atacantes também foram vistos usando um carregador PlugX e abusando do software legítimo de desktop remoto AnyDesk." O uso do carregador MgBot pelo Daggerfly foi destacado pela Malwarebytes em julho de 2020 como parte de ataques de phishing direcionados a pessoal do governo indiano e indivíduos em Hong Kong.
Ameaças de phishing são utilizadas como vetor de infecção inicial para o MgBot, bem como outras ferramentas como Cobalt Strike e um trojan de acesso remoto para Android chamado KsRemote.
O grupo é suspeito de realizar atividades de espionagem contra defensores de direitos humanos e pró-democracia domésticos e nações vizinhas da China desde pelo menos 2014.
As cadeias de ataques analisadas pela Symantec mostram o uso de ferramentas de "living-off-the-land" (LotL) como BITSAdmin e PowerShell para fornecer payloads de próxima geração, incluindo um executável AnyDesk legítimo e um utilitário de coleta de credenciais.
O ator de ameaça subsequente move-se para configurar a persistência no sistema da vítima criando uma conta local e implementando o framework modular MgBot, que vem com uma ampla variedade de plugins para coletar dados do navegador, registrar teclas, capturar capturas de tela, gravar áudio e enumerar o serviço Active Directory.
A natureza abrangente do MgBot indica que ele é ativamente mantido e atualizado pelos operadores para obter acesso a ambientes de vítimas.
A divulgação chega quase um mês depois que a SentinelOne detalhou uma campanha chamada Tainted Love no primeiro trimestre de 2023, direcionada a provedores de telecomunicações no Oriente Médio.
Foi atribuído a um grupo de ciberespionagem chinês que compartilha sobreposições com o Gallium (também conhecido como Othorene).
A Symantec também disse ter identificado três vítimas adicionais do mesmo cluster de atividades que estão localizadas na Ásia e na África.
Duas das vítimas, que foram violadas em novembro de 2022, são subsidiárias de uma empresa de telecomunicações na região do Oriente Médio.
"As empresas de telecomunicações sempre serão um alvo-chave em campanhas de coleta de inteligência devido ao acesso que podem fornecer às comunicações dos usuários finais", disse a Symantec.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...