متغيرات البرامج الضارة Sagerunex
لقد لوحظ أن المجموعة المعروفة باسم Lotus Panda تشن هجمات إلكترونية على الحكومة والتصنيع والاتصالات والقطاعات الإعلامية في الفلبين وفيتنام وهونج كونج وتايوان. وتتضمن هذه الهجمات إصدارات محدثة من Sagerunex backdoor، وهي سلالة من البرامج الضارة التي استغلتها Lotus Panda منذ عام 2016 على الأقل. وتواصل مجموعة APT (Advanced Persistent Threat) تحسين تكتيكاتها، باستخدام قذائف الأوامر المستمرة طويلة الأمد وتطوير متغيرات جديدة من ترسانتها من البرامج الضارة.
جدول المحتويات
اسم معروف في مجال التجسس الإلكتروني
Lotus Panda، المعروفة أيضًا باسم Billbug وBronze Elgin وLotus Blossom وSpring Dragon و Thrip ، هي مجموعة قرصنة صينية مشتبه بها كانت نشطة منذ عام 2009 على الأقل. كشف باحثو الأمن السيبراني عن عملياتها علنًا لأول مرة في يونيو 2018، وربطوا المجموعة بسلسلة من حملات التجسس الإلكتروني في جميع أنحاء آسيا.
تاريخ من الاختراقات رفيعة المستوى
في أواخر عام 2022، شرح خبراء الأمن بالتفصيل هجوم Lotus Panda على هيئة إصدار شهادات رقمية، بالإضافة إلى وكالات حكومية ودفاعية في جميع أنحاء آسيا. تضمنت هذه العمليات نشر أبواب خلفية متطورة مثل Hannotog وSagerunex، مما يؤكد قدرة المجموعة على اختراق المؤسسات الحيوية.
نقاط دخول غير واضحة ولكن أساليب الهجوم مألوفة
لا تزال الطريقة الدقيقة التي استخدمتها مجموعة Lotus Panda لاختراق أحدث أهدافها غير معروفة. ومع ذلك، فإن المجموعة لديها تاريخ في استخدام هجمات التصيد الاحتيالي للحصول على الوصول الأولي. بمجرد الدخول، ينشر المهاجمون الباب الخلفي Sagerunex، والذي يُعتقد أنه تطور لمتغير أقدم من البرامج الضارة المعروفة باسم Evora .
التكتيكات التهربيّة: استغلال الخدمات المشروعة
كشفت الأنشطة الأخيرة المرتبطة ببرنامج Lotus Panda عن نسختين تجريبيتين جديدتين من برنامج Sagerunex، تم التعرف عليهما من خلال سلاسل التصحيح الموجودة في الكود المصدري الخاص بهما. تستخدم هذه النسختان بذكاء خدمات مشروعة مثل Dropbox وX (المعروفة باسم Twitter) وZimbra كقنوات Command-and-Control (C2)، مما يجعل الكشف أكثر صعوبة.
إمكانيات الباب الخلفي المتقدمة
تم تصميم الباب الخلفي Sagerunex لجمع معلومات مفصلة عن الأجهزة المصابة وتشفيرها واستخراجها إلى خادم بعيد يتحكم فيه المهاجمون. وبحسب ما ورد، تم استخدام متغيرات Dropbox وX بين عامي 2018 و2022، بينما كانت نسخة Zimbra تعمل منذ عام 2019.
متغير البريد الإلكتروني Zimbra: مركز تحكم سري
يتجاوز إصدار البريد الإلكتروني على الويب Zimbra من Sagerunex جمع البيانات البسيطة. فهو يتيح للمهاجمين إرسال الأوامر عبر محتوى بريد Zimbra، مما يتيح لهم التحكم بشكل فعال في الأجهزة المخترقة. إذا تم اكتشاف أمر مشروع في بريد إلكتروني، فإن البرنامج الخبيث يستخرجه وينفذه. وإلا، فإن البرامج الضارة تحذف البريد الإلكتروني وتنتظر المزيد من التعليمات. يتم تجميع نتائج الأوامر المنفذة في أرشيفات RAR وتخزينها في مجلدات المسودات والمهملات في صندوق البريد.
ترسانة كاملة: أدوات إضافية في اللعب
لا تعتمد Lotus Panda على Sagerunex فقط. تقوم المجموعة بنشر أدوات إضافية، بما في ذلك:
- سارق ملفات تعريف الارتباط لحصاد بيانات اعتماد متصفح Chrome.
- Venom، أداة وكيل مفتوحة المصدر.
- أداة تصعيد الامتيازات للحصول على وصول أعلى إلى النظام.
- برنامج مخصص لضغط وتشفير البيانات المجمعة.
استطلاع الشبكة وتجاوز القيود
لقد لوحظ أن المهاجمين يقومون بتشغيل أوامر الاستطلاع مثل net وtaskslist وipconfig وnetstat لتقييم البيئة المستهدفة. بالإضافة إلى ذلك، يقومون بالتحقق من الاتصال بالإنترنت، وتعديل نهجهم بناءً على القيود المفروضة على الشبكة. إذا كان الوصول محدودًا، فإنهم يحاولون:
- استخدم إعدادات الوكيل الخاصة بالضحية لإنشاء اتصال.
- قم بنشر أداة وكيل Venom لربط الأجهزة المعزولة بالأنظمة التي يمكن الوصول إليها عبر الإنترنت.
التهديد مستمر
يشير التطور المستمر لـ Lotus Panda والتكتيكات المتطورة التي يستخدمها إلى أنه لا يزال يشكل تهديدًا إلكترونيًا كبيرًا. إن قدرته على التكيف والاستفادة من الخدمات المشروعة للتخفي وتنفيذ عمليات تجسس طويلة الأمد تجعله خصمًا هائلاً للمنظمات في منطقة آسيا والمحيط الهادئ وخارجها.
