Daggerfly 网络攻击活动打击非洲电信服务提供商

这些入侵被赛门铁克追踪为 Daggerfly 的黑客团队所为，同时也受到更广泛的网络安全社区 Bronze Highland 和 Evasive Panda 的监控。

该网络安全公司在与 The Hacker News 分享的一份报告中表示，该活动利用了“MgBot 恶意软件框架中以前从未见过的插件”。 “还看到攻击者使用 PlugX 加载器并滥用合法的 AnyDesk 远程桌面软件。”

2020 年 7 月，Daggerfly 使用 MgBot 加载程序（又名 BLame 或 MgmBot）作为针对印度政府人员和香港个人的网络钓鱼攻击的一部分被 Malwarebytes 重点关注。

根据 Secureworks 发布的配置文件，威胁行为者使用鱼叉式网络钓鱼作为初始感染媒介来投放 MgBot 以及其他工具，例如 Cobalt Strike，一种合法的对手模拟软件，以及基于 Android 的远程访问木马 (RAT)，名为KsRemote。

早在 2014 年，该组织就涉嫌针对国内人权和民主倡导者以及中国周边国家开展间谍活动。

赛门铁克分析的攻击链显示，使用 BITSAdmin 和 PowerShell 等离地生活 (LotL) 工具来交付下一阶段的有效负载，包括合法的 AnyDesk 可执行文件和凭据收集实用程序。

威胁行为者随后通过创建本地帐户并部署 MgBot 模块化框架在受害者系统上建立持久性活动目录服务。

赛门铁克表示：“所有这些功能都可以让攻击者从受害机器上收集大量信息。” “这些插件的功能还表明，攻击者在这次活动中的主要目标是收集信息。”

MgBot 包罗万象的性质表明它由运营商积极维护和更新以获得对受害者环境的访问权限。

在 SentinelOne 详细介绍了 2023 年第一季度针对中东电信提供商的名为 Tainted Love 的活动后近一个月，这一披露就到来了。它归因于一个与 Gallium（又名 Othorene）共享重叠的中国网络间谍组织。

赛门铁克进一步表示，它确定了位于亚洲和非洲的同一活动集群的另外三个受害者。 2022 年 11 月遭到入侵的其中两名受害者是中东地区一家电信公司的子公司。

赛门铁克表示：“电信公司将永远是情报收集活动的关键目标，因为它们可能为最终用户的通信提供访问权限。”