Новый неизученный фреймворк MgBot используется Китаем в кампаниях шпионажа в Африке

Специалисты Symantec сообщают , что связанная с Китаем группировка Daggerfly с ноября 2022 года атакует телекоммуникационные компании в Африке с целью сбора разведывательных данных.

Кампания Daggerfly (Bronze Highland, Evasive Panda) использует ранее незадокументированные плагины из модульной вредоносной среды MgBot. Злоумышленники также использовали загрузчик PlugX и злоупотребляли легитимным ПО для удаленного подключения к рабочему столу AnyDesk.

В обнаруженных цепочках атак Daggerfly проводит LotL-атаку (Living off the Land), используя средство BITSAdmin и PowerShell для доставки полезной нагрузки следующего этапа, в том числе законный исполняемый файл AnyDesk и утилиту для сбора учетных данных.

Затем киберпреступник устанавливает постоянство в системе жертвы, создавая локальную учетную запись и развертывая фреймворк MgBot. MgBot — активно поддерживаемая модульная структура, которая включает в себя EXE-дроппер, DLL-загрузчик и подключаемые плагины.

Многофункциональные плагины MgBot могут предоставить злоумышленникам значительный объем информации о скомпрометированной машине. Модули выполняют следующие действия:

• сбор данных браузера;
• регистрация нажатий клавиш (кейлоггинг);
• захват снимков экрана;
• запись звука;
• перечисление каталогов Active Directory (Active Directory Enumeration).

«Все перечисленные возможности позволяют хакерам собрать значительный объем информации с компьютеров-жертв. Функции плагинов также показывают, что основной целью злоумышленников в этой кампании является сбор данных», — заявили в Symantec.

Телекоммуникационные компании всегда будут главной целью шпионских кампаний из-за потенциального доступа, который они могут предоставить к коммуникациям конечных пользователей.