Symantec araştırmacıları tarafından yayınlanan bir rapora göre, Afrikalı telekomünikasyon şirketleri 2022’nin Kasım ayından beri sürekli Çinli bir hacker grubunun saldırısına uğruyor.
Güvenlik araştırmacıları tarafından DaggerFly kod adıyla anılan saldırganlar elde edilen bulgulara göre hedeflerine sızabilmek için MgBot ve PlugX zararlı ailesinden yararlanıyor. MgBot daha önce de birtakım Çinli APT grupları ile ilişkilendirilmişti.
Saldırılar ilk olarak Kasım 2022’de bir Microsoft Exchange mail sunucusunun ele geçirilmesiyle ortaya çıktı. Ağda şüpheli bir şekilde gerçekleşen AnyDesk bağlantıları siber güvenlik uzmanlarının dikkatini çeken ilk şüpheli hareketti.
AnyDesk normal şartlarda güvenilir bir yazılım olmasına karşın özellikle saldırganlar tarafından sistemlerde kalıcılık sağlamak amacıyla oldukça yaygın kullanılıyor.
Saldırganlar daha sonra bir başka zararlı yazılım olan PlugX’i kurbanlarına yüklemek için yasal bir antivirüs programı olan Rising’ten yararlandı. Bu size oldukça ilginç gelebilir ama saldırganlar son zamanlarda yetki yükseltme ve zararlı yazılımın kendisini yükleme konusunda antivirüslerde yer alan güvenlik açıklarından oldukça aktif bir şekilde yararlanıyorlar.
Araştırmacıların söylediğine göre bu telekom şirketleri, arkasında Çin devleti olduğu düşünülen hackerlar tarafından istihbarat toplanmak üzere saldırıya uğradı.
