Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) Варианти на зловреден софтуер Sagerunex

Варианти на зловреден софтуер Sagerunex

До Mezo през Усъвършенствана постоянна заплаха (APT), Задни вратиг
Превод на:
български език

Прословутата заплаха, известна като Lotus Panda, е наблюдавана да извършва кибератаки срещу правителствени, производствени, телекомуникационни и медийни сектори във Филипините, Виетнам, Хонконг и Тайван. Тези атаки включват актуализирани версии на задната врата на Sagerunex , вид злонамерен софтуер, който Lotus Panda използва поне от 2016 г. Групата APT (Advanced Persistent Threat) продължава да усъвършенства своите тактики, като използва дългосрочни постоянни командни обвивки и разработва нови варианти на своя арсенал от злонамерен софтуер.

Добре известно име в кибершпионажа

Lotus Panda, известна също като Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip , е предполагаема китайска хакерска група, която е активна най-малко от 2009 г. Изследователите на киберсигурността за първи път разкриха публично нейните операции през юни 2018 г., свързвайки групата със серия от кампании за кибер шпионаж в Азия.

История на високопоставени прониквания

В края на 2022 г. експерти по сигурността описаха подробно атаката на Lotus Panda срещу орган за цифрови сертификати, както и правителствени и отбранителни агенции в цяла Азия. Тези операции включваха внедряването на сложни задни врати като Hannotog и Sagerunex, подчертавайки способността на групата да компрометира критични институции.

Неясни входни точки, но познати методи за атака

Точният метод, използван от Lotus Panda за пробиване на последните му цели, остава неизвестен. Въпреки това, групата има история на използване на атаки за напояване и фишинг, за да получи първоначален достъп. Веднъж влезли вътре, нападателите разполагат задната врата Sagerunex, за която се смята, че е еволюция на по-стар вариант на зловреден софтуер, известен като Evora .

Уклончиви тактики: Използване на легитимни услуги

Скорошна дейност, свързана с Lotus Panda, разкри два нови „бета“ варианта на Sagerunex, идентифицирани чрез низове за отстраняване на грешки в техния изходен код. Тези версии умело използват легитимни услуги като Dropbox, X (по-известни като Twitter) и Zimbra като канали за командване и контрол (C2), което прави откриването по-предизвикателно.

Разширени възможности за задна врата

Задната врата на Sagerunex е предназначена да събира подробна информация за заразените машини, да я криптира и да я ексфилтрира към отдалечен сървър, контролиран от нападателите. Съобщава се, че вариантите Dropbox и X са били използвани между 2018 г. и 2022 г., докато версията Zimbra работи от 2019 г.

Вариант на уеб поща на Zimbra: Скрит контролен център

Вариантът за уеб поща на Zimbra на Sagerunex надхвърля обикновеното събиране на данни. Той позволява на атакуващите да изпращат команди чрез съдържанието на пощата на Zimbra, контролирайки ефективно компрометирани машини. Ако в имейл бъде открита легитимна команда, задната врата я извлича и изпълнява. В противен случай зловредният софтуер изтрива имейла и чака допълнителни инструкции. Резултатите от изпълнените команди се пакетират като RAR архиви и се съхраняват в папките чернови и кошчето на пощенската кутия.

Пълен арсенал: Допълнителни инструменти в играта

Lotus Panda не разчита единствено на Sagerunex. Групата внедрява допълнителни инструменти, включително:

  • Крадец на бисквитки за събиране на идентификационни данни за браузър Chrome.
  • Venom, прокси програма с отворен код.
  • Инструмент за повишаване на привилегиите за получаване на по-висок достъп до системата.
  • Персонализиран софтуер за компресиране и криптиране на събраните данни.

Мрежово разузнаване и заобикалящи ограничения

Нападателите са наблюдавани да изпълняват разузнавателни команди като net, tasklist, ipconfig и netstat, за да оценят целевата среда. Освен това те проверяват за интернет свързаност, коригирайки подхода си въз основа на мрежовите ограничения. Ако достъпът е ограничен, те се опитват да:

  • Използвайте прокси настройките на жертвата, за да установите връзка.
  • Разположете прокси инструмента Venom, за да свържете изолирани машини към системи, достъпни в интернет.

Продължаваща заплаха

Продължаващото развитие и сложните тактики на Lotus Panda показват, че тя остава значителна кибер заплаха. Способността му да се адаптира, да използва легитимни услуги за стелт и да изпълнява дългосрочни шпионски операции го прави страхотен противник за организации в Азиатско-тихоокеанския регион и извън него.

Тенденция

Plebeianness.app

Рекламен софтуер, Зловреден софтуер за Mac, Потенциално нежелани програми
Светът на киберсигурността непрекъснато се развива и дори потребителите на Mac не са имунизирани срещу заплахите, породени от опасен софтуер. Един такъв създаващ проблеми, който придоби известност...

Най-гледан

Зареждане...