中國駭客組織Daggerfly利用惡意軟體 MgBot 和 MACMA攻擊台灣企業和美國非政府組織

Daggerfly APT組織是與北京有密切關聯的情報蒐集/ 駭客團體

Daggerfly利用惡意軟體攻擊台灣企業及美國NGO  Photo Credit: SempreUpdate

數家台灣企業和一家總部位於中國的美國非政府組織 (NGO) 已成為駭客組織Daggerfly 的目標,該組織屬於國家資助之駭客團體,跟北京關係密切,目前正使用一組已升級完成的惡意軟體工具。

博通(Broadcom)旗下的賽門鐵克(Symantec)威脅獵人團隊最近發布的一份報告表示,這項行動顯示Daggerfly「也從事內部間諜活動」。“在發動的攻擊中,駭客利用 Apache HTTP Server (網頁伺服器) 中的漏洞來散播 MgBot 惡意軟體。”

Daggerfly(也稱為 Bronze Highland 和 Evasive Panda)先前被發現運用 MgBot 模組化惡意軟體架構來進行針對非洲電信服務供應商的情報收集任務。根據相關報導,該行動早自 2012 年起就已經開始運作。

2021 年Google首次詳細介紹了Macma macOS 後門程式 (backdoor)  ,至少從 2019 年起這個惡意軟體就有開始被使用了。駭客利用Macma來進行水坑攻擊 (watering hole attacks),目標是香港的網站。這些攻擊利用了 iOS 和 macOS 裝置上的漏洞。攻擊者利用越權漏洞(privilege escalation vulnerability) CVE-2021-30869在macOS設備上安裝Macma。

Macma 是一個模組化後門程式,能支援多種功能,其中包括裝置指紋辨識、執行指令、螢幕截圖、鍵盤記錄、音訊擷取、上傳和下載檔案等等。

儘管 Macma 被國家支持的攻擊者廣泛地使用於網路行動,但它不一定歸屬於某特定組織。然而,賽門鐵克發現有證據表明它是 Daggerfly 所使用的攻擊武器之一。 另外也被發現有部分的MgBot攻擊者,也在使用Macma後門程式 C2 server (103.243.212[.]98) 的變異程式。

在3月的時候,資安專家也發現到了另一種惡意軟體,名為 Suzafk(又稱「NetMM」、Nightdoor),電腦安全軟體公司ESET研究員證實了它與 Daggerfly 的關聯性

報告中說明:「Suzafk 是一個多階段後門程式,能夠使用 TCP (傳輸控制協定) 或 OneDrive雲端硬碟來達成 Command and Control (按照駭客的命令與控制) 的目的。從這個惡意軟體之中所包含的組態參數和相關設定來看,可以推測它連結到 OneDrive 的功能正在開發中,亦有可能它的變異版本已經擁有這樣的功能。」

賽門鐵克表示:「該組織所創建的惡意軟體工具是以大多數主要作業系統平台為目標。」並補充說,「相關證據顯示這些惡意軟體有能力將Android APK、SMS簡訊攔截工具、DNS 請求攔截工具,甚至針對Solaris 作業系統的惡意軟體轉換成木馬程式供其所用」。

正值事態發展之際,中國國家電腦病毒應急處理中心(CVERC)聲稱:“伏特颱風 (Volt Typhoon)” 組織是美國情報機構虛構的,與其有關報導皆屬不實消息。然而,五眼聯盟國家將Volt Typhoon歸屬於與中國有聯繫的間諜組織。

MgBot, MacMa惡意軟體相關的部分的入侵指標(IOCs):

12c2e058e0665bcbff3dbee38a1ef754

5535bbcf24a5767df085a1e34804c913

784dc986f0006aa47c35e60080c7ebf2

9bf90d7ea1e0f7e5086ce70771f44101

a48ea150eae374e7a79d6d4859aae710

a6bdcda8b125a6f2cb6a4ff705446793

b7720de6a3d438aee46f01d78e8fa806

c4db2081fb0c38afe5c6f7ea21805eb4