【安全资讯】Daggerfly间谍组织重大更新工具集

概要：

Daggerfly（又名Evasive Panda, Bronze Highland）间谍组织最近对其工具集进行了重大更新，推出了多个新版本的恶意软件。这些新工具在最近针对台湾和美国非政府组织的攻击中被使用，表明该组织也参与内部间谍活动。此次更新可能是为了应对旧版本的曝光。

主要内容：

Daggerfly间谍组织最近对其工具集进行了重大更新，推出了多个新版本的恶意软件，包括基于MgBot模块化恶意软件框架的新恶意软件家族和Macma macOS后门的新版本。Macma后门最早由Google在2021年记录，但其使用历史可追溯到2019年。该恶意软件通过水坑攻击传播，利用iOS和macOS设备的漏洞进行特权提升攻击。

Macma后门是一个模块化后门，功能包括设备指纹识别、命令执行、屏幕截图、键盘记录、音频捕获以及文件上传和下载。最近发现的Macma变种展示了持续开发的证据，包括更新的模块、文件目录路径和文件名、附加的调试日志记录以及新的配置数据。

此外，Daggerfly还推出了一个新的Windows后门（Trojan.Suzafk），该后门使用与MgBot、Macma等工具相同的共享库开发。Suzafk是一个多阶段后门，能够使用TCP或OneDrive进行命令与控制（C&C）。该恶意软件包含嵌入的代码，用于检测虚拟机、沙箱和恶意软件分析环境，并通过cmd.exe shell与C&C服务器进行通信。

Daggerfly组织展示了其强大的资源和能力，能够快速更新其工具集，以应对曝光并继续其间谍活动。Symantec的Threat Hunter Team发现，Daggerfly能够创建针对大多数主要操作系统平台的工具版本，并且能够迅速响应曝光，最小化间谍活动的中断。