Οι Κινέζοι κυβερνοεγκληματίες γνωστοί ως Daggerfly (AKA Evasive Panda ή Bronze Highland) έχουν παρατηρηθεί να στοχεύουν χρήστες macOS με μια ενημερωμένη έκδοση του ιδιόκτητου κακόβουλου λογισμικού τους.
Μια αναφορά από τη Symantec ισχυρίζεται ότι η νέα παραλλαγή εισήχθη πιθανότατα επειδή οι παλαιότερες παραλλαγές είχαν εκτεθεί πάρα πολύ.
Το κακόβουλο λογισμικό Macma
Το κακόβουλο λογισμικό που αφορά τη συνθήκη αυτήν ονομάζεται Macma. Είναι ένα backdoor για macOS που παρατηρήθηκε για πρώτη φορά το 2020, αλλά δεν είναι ακόμα γνωστό ποιος το δημιούργησε. Οι ερευνητές πιστεύουν ότι χρησιμοποιείται από το 2019, κυρίως σε επιθέσεις watering hole κατά παραβιασμένων ιστοσελίδων στο Χονγκ Κονγκ.
Ως backdoor, οι κύριες λειτουργίες του Macma περιλαμβάνουν την αποτύπωση δακτυλικών αποτυπωμάτων συσκευής, την εκτέλεση εντολών, την καταγραφή οθόνης, την καταγραφή πληκτρολογίων, την καταγραφή ήχου και τη μεταφόρτωση/λήψη αρχείων από τα παραβιασμένα συστήματα.
Οι Daggerfly χρησιμοποιούσαν το Macma εναντίον οργανισμών στην Ταϊβάν και ενός Αμερικανικού μη κυβερνητικού οργανισμού στην Κίνα.
Χρήση πολλαπλών κακόβουλων λογισμικών στις επιθέσεις
Σε αυτές τις επιθέσεις, χρησιμοποιούσαν περισσότερα από απλά το Macma. Η Symantec λέει ότι εκμεταλλεύονταν μια «αδυναμία» σε έναν Apache HTTP server για να αναπτύξουν επίσης το κακόβουλο λογισμικό τους MgBot, ένα πλαίσιο που παρατηρήθηκε για πρώτη φορά το 2008. Στο παρελθόν, το MgBot χρησιμοποιήθηκε σε στοχευμένες επιθέσεις, κυρίως επειδή ήταν εξαιρετικά καλό στην αποφυγή εντοπισμού, ενώ παρέμενε επίμονο.
Επιθέσεις με Windows Backdoor Trojan.Suzafk
Τέλος, οι Daggerfly χρησιμοποιούσαν ένα Windows backdoor που ονομάζεται Trojan.Suzafk, το οποίο τεκμηριώθηκε για πρώτη φορά από την ESET τον Μάρτιο του τρέχοντος έτους (οι ερευνητές το ονόμασαν Nightdoor ή NetMM). Το Suzafk αναπτύχθηκε χρησιμοποιώντας την ίδια κοινή βιβλιοθήκη που χρησιμοποιήθηκε στο MgBot, το Macma και σε αριθμό άλλων εργαλείων των Daggerfly, πρόσθεσε η Symantec.
