Daggerfly APT Group
北京と提携し、国家の支援を受けているハッカー集団「Daggerfly」は、台湾の組織と中国で活動する米国の非政府組織 (NGO) を標的にしています。同集団は、これらの攻撃に、強化された一連のマルウェア ツールを使用しています。この攻撃は、同集団が内部スパイ活動も行っていることを示しています。NGO への攻撃中、ハッカー集団は Apache HTTP サーバーの脆弱性を悪用して、 MgBotマルウェアを展開しました。
目次
Daggerfly APT (Advanced Persistent Threat) グループの脅威の武器
Daggerfly(別名 Bronze Highland、Evasive Panda)は、2012年以来、アフリカの通信サービスプロバイダーを標的とした情報収集活動に MgBot モジュラーマルウェアフレームワークを使用しています。このグループは、検出に応じてツールセットを迅速に更新するスキルに長けており、最小限の混乱でスパイ活動を継続することができます。
最新の攻撃には、MgBotから派生した新しいマルウェアファミリーと、2021年11月に初めて特定されたmacOSマルウェアであるMACMAの強化版が関与しています。MACMAは当初、Safariの脆弱性を悪用したウォーターホール攻撃を通じて香港のユーザーを標的に配布されていました。
これは、MACMA と特定のハッキング グループとの明確なつながりを示す初めての事例であり、機密情報を収集し、任意のコマンドを実行する能力があることが明らかになりました。証拠から、MACMA の作成者は ELF/Android 開発者のコードを再利用し、Android デバイスもターゲットにしている可能性があることが示唆されています。
MACMA と Daggerfly の関連性は、MgBot とのソース コードの重複と、MgBot ドロッパーでも使用されるコマンド アンド コントロール (C2) サーバー (103.243.212.98) と通信するという事実によってさらに裏付けられます。
Daggerfly が利用する追加のマルウェアの脅威
このグループの武器庫に新たに加わったのが Nightdoor (別名 NetMM および Suzafk) です。このインプラントはコマンド アンド コントロール (C2) に Google Drive API を活用しており、少なくとも 2023 年 9 月以降、チベットのユーザーを標的とした水飲み場型攻撃に使用されています。この活動は 3 月に初めて記録されました。
このグループは、主要なオペレーティング システム向けのツール バージョンを開発する能力を実証しています。研究者は、トロイの木馬化された Android APK、SMS 傍受ツール、DNS 要求傍受ツール、および Solaris OS を標的とするマルウェアの証拠を確認しています。
マルウェアの脅威からデバイスを保護するにはどうすればよいでしょうか?
デバイスをマルウェアの脅威から保護するには、テクノロジー、ベスト プラクティス、ユーザーの警戒を組み合わせた多面的なアプローチが必要です。デバイスを保護するためにユーザーが実施すべき最善の対策は次のとおりです。
- マルウェア対策ソフトウェアをインストールして定期的に更新する: 評判の良いセキュリティ ソフトウェアを使用してマルウェアを検出して削除し、常に最新の状態にして最新の脅威から保護します。さらに、リアルタイム スキャンを有効にして、継続的にアクセスされるファイルとダウンロードを監視します。
- オペレーティング システムとソフトウェアを最新の状態に保つ: オペレーティング システム、ブラウザー、アプリケーションの自動更新を有効にして、最新のセキュリティ パッチをすぐに受信できるようにします。自動更新にアクセスできない場合は、セキュリティを維持するために、定期的に更新を確認して手動でインストールしてください。
- ファイアウォールの使用: 不正アクセスをブロックするために、オペレーティング システムに組み込まれているファイアウォールが有効になっていることを確認します。特に家庭や会社のネットワークで追加の保護が必要な場合は、ハードウェア ファイアウォールの使用を検討してください。
- 安全なブラウジング習慣を実践する: 信頼できないと思われる Web サイトや疑わしいコンテンツを含む Web サイトへのアクセスは避けてください。マルウェアのリスクを最小限に抑えるため、信頼できる公式ソースからソフトウェアをダウンロードし、無料ダウンロードを提供するポップアップや広告をクリックしないでください。
- 強力なパスワードと 2 要素認証 (2FA) を使用する: さまざまなアカウントに常に十分に強力なパスワードを使用し、定期的に変更します。2FA を有効にすると、セキュリティ レイヤーがもう 1 つ追加され、潜在的なハッカーがアクセスするのがより困難になります。
- 電子メールと添付ファイルに注意してください: 個人情報を漏らしたりマルウェアをダウンロードさせたりするために設計されたフィッシング メールには注意してください。不明なソースや疑わしいソースからの電子メールの添付ファイルにアクセスしたり、リンクをクリックしたりしないでください。
- 定期的にデータをバックアップする: 重要なデータを外付けハードドライブまたはクラウド サービスに定期的にバックアップして、マルウェア攻撃が発生した場合でも情報を回復できるようにします。定期的に、バックアップが完了し、正常に復元できることを確認してください。
- 広告ブロッカーと追跡防止ツールを使用する: 不正な広告に遭遇するリスクを減らすために、広告ブロッカーをインストールします。さらに、追跡スクリプトをブロックするブラウザ拡張機能を使用して、閲覧データが収集されないように保護します。
- ネットワークを保護する: ルーターやその他のネットワーク デバイスのすべてのデフォルトのユーザー名とパスワードを変更します。Wi-Fi ネットワークに強力な暗号化 (WPA3 または WPA2) を使用し、WPS を無効にしてセキュリティを強化します。
- 自分自身と他の人を教育する: 最新のセキュリティの脅威とベスト プラクティスについて常に情報を入手します。家族や従業員に安全なオンライン行動と潜在的な脅威について教育し、全員が認識して警戒できるようにします。
これらの対策をすべてのデバイスに統合することで、ユーザーはマルウェア感染のリスクを軽減し、全体的なセキュリティを大幅に強化できる可能性があります。
