Китайские киберпреступники атакуют пользователей macOS
Китайская кибергруппировка Daggerfly (также известная как Evasive Panda или Bronze Highland) была замечена, атакуя пользователей macOS с обновленной версией своего собственного вредоносного ПО.
По данным Symantec, новая версия, вероятно, появилась из-за того, что старые версии слишком сильно распространились.
Macma: функционал и использование
Вредоносное ПО называется Macma. Это backdoor для macOS, первая версия которого была замечена в 2020 году. Однако до сих пор неизвестно, кто его создал. Исследователи полагают, что его использовали с 2019 года, в основном в водоемных атаках на скомпрометированных веб-сайтах в Гонконге. Macma — это модульный backdoor с возможностями:
- Снятие отпечатков устройства
- Выполнение команд
- Захват экранов
- Логирование клавиш
- Запись аудио
- Загрузка и скачивание файлов с скомпрометированных систем
Тайваньские и американские цели
Исследователи упомянули «постоянное развитие» Macma, отмечая, что была обнаружена вторая версия Macma с небольшими обновлениями существующего функционала.
Daggerfly использовали Macma против организаций в Тайване и американской неправительственной организации в Китае.
Использование MgBot и других инструментов
В этих атаках использовалось не только Macma. Symantec сообщает, что преступники также использовали уязвимость в Apache HTTP-сервере для распространения своего вредоносного ПО MgBot — модульной платформы, впервые обнаруженной в 2008 году. MgBot использовали в целевых атаках благодаря его способности обходить детектирование и удерживать присутствие в системе. Фреймворк позволяет загружать различные плагины и модули для выполнения различных вредоносных действий в зависимости от цели:
- Кража данных
- Логирование клавиш
- Захват экранов
- Удаленное управление системой
Windows backdoor
Наконец, Daggerfly использовали Windows backdoor, известное как Trojan.Suzafk (или Nightdoor, NetMM), впервые описанное ESET в марте этого года. Suzafk был разработан с использованием той же общей библиотеки, что и у MgBot, Macma и других инструментов Daggerfly. Suzafk представляет собой многоэтапный backdoor, который может использовать TCP или OneDrive для командного и контрольного взаимодействия.
Источник: BleepingComputer
Источник: TechRadar
