Sommario
Il gruppo di spionaggio Daggerfly ha recentemente aggiornato il proprio toolkit, integrando nuove funzionalità e miglioramenti che ne aumentano l’efficacia. Symantec ha identificato collegamenti tra il noto malware Macma e il toolkit Daggerfly, rilevando anche una nuova backdoor per Windows denominato Suzafk. Questi sviluppi evidenziano le capacità avanzate di Daggerfly nel creare e aggiornare strumenti per il cyberspionaggio su più piattaforme.
Attribuzione a Daggerfly
Sebbene Macma fosse ampiamente considerato legato ad attività APT, fino ad ora non era stato attribuito a un gruppo specifico. Symantec ha trovato prove che suggeriscono che Macma faccia parte del toolkit di Daggerfly. Due varianti del backdoor Macma si sono connesse a un server di comando e controllo (C&C) condiviso anche da un dropper MgBot, indicando una stretta relazione tra questi strumenti.
Codice condiviso e infrastruttura
Macma e altri malware noti di Daggerfly, tra cui MgBot, condividono codice da una libreria comune utilizzata per creare minacce per Windows, macOS, Linux e Android. Questa libreria include funzionalità come gestione dei thread, notifiche di eventi, marshaling dei dati e astrazioni indipendenti dalla piattaforma. Esempi di questo codice includono stringhe magiche come “inp” e “tim” inviate tramite socket, utilizzate per comunicare tra processi o thread.
Nuova Backdoor: Suzafk
Una nuova aggiunta al toolkit di Daggerfly è la backdoor per Windows nota come Suzafk. Documentato per la prima volta da ESET come Nightdoor, Suzafk è un backdoor multi-stadio capace di utilizzare TCP o OneDrive per comunicazioni C&C. Il malware è stato sviluppato utilizzando la stessa libreria condivisa di Macma e MgBot.
Funzionalità di Suzafk
Suzafk è configurato per connettersi a OneDrive e TCP per comunicazioni C&C, indicando una versatilità nell’utilizzo di canali di comunicazione. Il loader del malware, identificato dal SHA256 5687b32cdd5c4d1b3e928ee0792f6ec43817883721f9b86ec8066c5ec2791595, installa due file: Engine.dll e MeitUD.exe. MeitUD.exe è un’applicazione legittima, mentre Engine.dll è un loader che stabilisce la persistenza e carica il payload finale in memoria.
Capacità avanzate e risorse di Daggerfly
Le nuove scoperte offrono una visione più chiara delle capacità e delle risorse dietro Daggerfly. Il gruppo è in grado di creare versioni dei suoi strumenti per la maggior parte dei principali sistemi operativi, inclusi Windows, macOS, Linux e Android. Oltre ai tool documentati, Symantec ha rilevato la capacità di trojanizzare APK Android, strumenti di intercettazione SMS, strumenti di intercettazione delle richieste DNS e persino malware mirati al sistema operativo Solaris. Daggerfly dimostra una notevole capacità di aggiornare rapidamente il proprio toolkit per continuare le attività di spionaggio con un’interruzione minima.
Daggerfly continua a rappresentare una minaccia significativa nel panorama della sicurezza informatica globale. La capacità del gruppo di sviluppare e aggiornare rapidamente i propri strumenti evidenzia l’importanza di una protezione continua e aggiornata. Le organizzazioni devono rimanere vigili e implementare misure di sicurezza avanzate per proteggersi dalle minacce emergenti.
