Новости Новый неизученный фреймворк MgBot используется Китаем в кампаниях шпионажа в Африке

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Телекоммуникационные компании в Африке стали жертвами новых шпионских инструментов китайских хакеров.


x8eti1ihn9ogr7g1t2mdsobbm1jf6x4d.jpg


Специалисты Symantec Для просмотра ссылки Войди или Зарегистрируйся , что связанная с Китаем группировка Daggerfly с ноября 2022 года атакует телекоммуникационные компании в Африке с целью сбора разведывательных данных.

Кампания Daggerfly (Bronze Highland, Evasive Panda) использует ранее незадокументированные плагины из модульной вредоносной среды MgBot . Злоумышленники также использовали загрузчик PlugX и злоупотребляли легитимным ПО для удаленного подключения к рабочему столу AnyDesk.

В обнаруженных цепочках атак Daggerfly проводит LotL-атаку (Living off the Land), используя Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся и PowerShell для доставки полезной нагрузки следующего этапа, в том числе законный исполняемый файл AnyDesk и утилиту для сбора учетных данных.

Затем киберпреступник устанавливает постоянство в системе жертвы, создавая локальную учетную запись и развертывая фреймворк MgBot. MgBot — активно поддерживаемая модульная структура, которая включает в себя EXE- дроппер , DLL -загрузчик и подключаемые плагины.

Многофункциональные плагины MgBot могут предоставить злоумышленникам значительный объем информации о скомпрометированной машине. Модули выполняют следующие действия:

  • сбор данных браузера;
  • регистрация нажатий клавиш (кейлоггинг);
  • захват снимков экрана;
  • запись звука;
  • перечисление каталогов Active Directory (Active Directory Enumeration).

«Все перечисленные возможности позволяют хакерам собрать значительный объем информации с компьютеров-жертв. Функции плагинов также показывают, что основной целью злоумышленников в этой кампании является сбор данных», — заявили в Symantec.

Телекоммуникационные компании всегда будут главной целью шпионских кампаний из-за потенциального доступа, который они могут предоставить к коммуникациям конечных пользователей.
 
Источник новости
www.securitylab.ru

Похожие темы