Campanha de ciberataque Daggerfly atinge provedores de serviços de telecomunicações africanos
20 de Abril de 2023

Provedores de serviços de telecomunicações na África são o alvo de uma nova campanha orquestrada por um ator de ameaça ligado à China pelo menos desde novembro de 2022.

As intrusões foram atribuídas a uma equipe de hackers rastreada pela Symantec como Daggerfly e também rastreada pela comunidade de cibersegurança mais ampla como Bronze Highland e Evasive Panda.

A campanha usa "plugins nunca antes vistos do framework de malware MgBot", disse a empresa de cibersegurança em um relatório compartilhado com o The Hacker News.

"Os atacantes também foram vistos usando um carregador PlugX e abusando do software legítimo de desktop remoto AnyDesk." O uso do carregador MgBot pelo Daggerfly foi destacado pela Malwarebytes em julho de 2020 como parte de ataques de phishing direcionados a pessoal do governo indiano e indivíduos em Hong Kong.

Ameaças de phishing são utilizadas como vetor de infecção inicial para o MgBot, bem como outras ferramentas como Cobalt Strike e um trojan de acesso remoto para Android chamado KsRemote.

O grupo é suspeito de realizar atividades de espionagem contra defensores de direitos humanos e pró-democracia domésticos e nações vizinhas da China desde pelo menos 2014.

As cadeias de ataques analisadas pela Symantec mostram o uso de ferramentas de "living-off-the-land" (LotL) como BITSAdmin e PowerShell para fornecer payloads de próxima geração, incluindo um executável AnyDesk legítimo e um utilitário de coleta de credenciais.

O ator de ameaça subsequente move-se para configurar a persistência no sistema da vítima criando uma conta local e implementando o framework modular MgBot, que vem com uma ampla variedade de plugins para coletar dados do navegador, registrar teclas, capturar capturas de tela, gravar áudio e enumerar o serviço Active Directory.

A natureza abrangente do MgBot indica que ele é ativamente mantido e atualizado pelos operadores para obter acesso a ambientes de vítimas.

A divulgação chega quase um mês depois que a SentinelOne detalhou uma campanha chamada Tainted Love no primeiro trimestre de 2023, direcionada a provedores de telecomunicações no Oriente Médio.

Foi atribuído a um grupo de ciberespionagem chinês que compartilha sobreposições com o Gallium (também conhecido como Othorene).

A Symantec também disse ter identificado três vítimas adicionais do mesmo cluster de atividades que estão localizadas na Ásia e na África.

Duas das vítimas, que foram violadas em novembro de 2022, são subsidiárias de uma empresa de telecomunicações na região do Oriente Médio.

"As empresas de telecomunicações sempre serão um alvo-chave em campanhas de coleta de inteligência devido ao acesso que podem fornecer às comunicações dos usuários finais", disse a Symantec.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...