مقدمو خدمات الاتصالات في إفريقيا هم هدف حملة جديدة نظمتها جهة تهديد مرتبطة بالصين على الأقل منذ نوفمبر 2022.
تم تعليق الاختراقات على طاقم قرصنة تتبعه شركة Symantec باسم Daggerfly ، والذي تتم مراقبته أيضًا من قبل مجتمع الأمن السيبراني الأوسع مثل Bronze Highland و Evasive Panda.
وقالت شركة الأمن السيبراني في تقرير تمت مشاركته مع The Hacker News إن الحملة تستخدم "المكونات الإضافية غير المرئية سابقًا من إطار MgBot للبرامج الضارة" . "شوهد المهاجمون أيضًا يستخدمون أداة تحميل PlugX ويسئ استخدام برنامج سطح المكتب البعيد AnyDesk الشرعي."
تم تسليط الضوء على استخدام Daggerfly لمحمل MgBot (المعروف أيضًا باسم BLame أو MgmBot) بواسطة Malwarebytes في يوليو 2020 كجزء من هجمات التصيد الاحتيالي التي تستهدف موظفي الحكومة الهندية والأفراد في هونغ كونغ.
وفقًا لملف تعريف نشرته Secureworks ، يستخدم ممثل التهديد التصيد الاحتيالي باعتباره ناقلًا أوليًا للعدوى لإسقاط MgBot بالإضافة إلى أدوات أخرى مثل Cobalt Strike ، وهو برنامج محاكاة شرعي للخصم ، وأحد طروادة الوصول عن بُعد المستند إلى Android (RAT) المسمى Ks عن بعد.
يُشتبه في أن المجموعة تقوم بأنشطة تجسس ضد دعاة حقوق الإنسان والديمقراطية المحليين والدول المجاورة للصين منذ عام 2014.
تُظهر سلاسل الهجوم التي تم تحليلها بواسطة Symantec استخدام أدوات العيش خارج الأرض (LotL) مثل BITSAdmin و PowerShell لتقديم حمولات المرحلة التالية ، بما في ذلك برنامج AnyDesk القابل للتنفيذ وأداة تجميع بيانات الاعتماد.
ينتقل ممثل التهديد لاحقًا إلى إعداد المثابرة على نظام الضحية عن طريق إنشاء حساب محلي ونشر إطار عمل MgBot المعياري ، والذي يأتي مع مجموعة واسعة من المكونات الإضافية لجمع بيانات المتصفح ، وتسجيل ضغطات المفاتيح ، والتقاط لقطات الشاشة ، وتسجيل الصوت ، وتعداد خدمة الدليل النشط.
وقالت سيمانتك: "كل هذه القدرات كانت ستسمح للمهاجمين بجمع قدر كبير من المعلومات من أجهزة الضحايا". "تُظهر إمكانات هذه المكونات الإضافية أيضًا أن الهدف الرئيسي للمهاجمين خلال هذه الحملة كان جمع المعلومات".
تشير الطبيعة الشاملة لـ MgBot إلى أنه يتم صيانتها وتحديثها بنشاط من قبل المشغلين للوصول إلى بيئات الضحايا.
يصل الكشف بعد شهر تقريبًا من قيام SentinelOne بتفصيل حملة تسمى Tainted Love في الربع الأول من عام 2023 تستهدف مزودي خدمات الاتصالات في الشرق الأوسط. نُسبت إلى مجموعة التجسس الإلكتروني الصينية التي تشترك في التداخل مع Gallium (المعروف أيضًا باسم Othorene).
وقالت سيمانتيك أيضًا إنها حددت ثلاثة ضحايا إضافيين لنفس مجموعة الأنشطة الموجودة في آسيا وأفريقيا. اثنان من الضحايا ، اللذان تم اختراقهما في نوفمبر 2022 ، هما شركتان تابعتان لشركة اتصالات في منطقة الشرق الأوسط.
وقالت سيمانتك: "ستكون شركات الاتصالات دائمًا هدفًا رئيسيًا في حملات جمع المعلومات الاستخبارية نظرًا لإمكانية الوصول التي يمكن أن توفرها لاتصالات المستخدمين النهائيين".