Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Variants de programari maliciós de Sagerunex

Variants de programari maliciós de Sagerunex

El Mezo el Amenaça persistent avançada (APT), Portes del darrere
Traduir a:
Català

S'ha observat que el famós actor d'amenaça conegut com a Lotus Panda llança ciberatacs als sectors governamentals, de fabricació, de telecomunicacions i de mitjans de comunicació a les Filipines, Vietnam, Hong Kong i Taiwan. Aquests atacs impliquen versions actualitzades de la porta del darrere de Sagerunex , una varietat de programari maliciós que Lotus Panda ha estat aprofitant almenys des del 2016. El grup APT (Advanced Persistent Threat) continua perfeccionant les seves tàctiques, utilitzant intèrprets de comandaments persistents a llarg termini i desenvolupant noves variants del seu arsenal de programari maliciós.

Un nom conegut en el ciberespionatge

El Lotus Panda, també conegut com Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon i Thrip , és un presumpte col·lectiu de pirates informàtics xinès que està actiu almenys des del 2009. Els investigadors de ciberseguretat van exposar públicament per primera vegada les seves operacions el juny de 2018, vinculant el grup a una sèrie de campanyes d'espionatge cibernètic a tot Àsia.

Una història d’intrusions d’alt perfil

A finals de 2022, experts en seguretat van detallar l'atac de Lotus Panda a una autoritat de certificat digital, així com a les agències governamentals i de defensa d'Àsia. Aquestes operacions van implicar el desplegament de portes posteriors sofisticades com Hannotog i Sagerunex, que subratllen la capacitat del grup de comprometre institucions crítiques.

Punts d’entrada poc clars però mètodes d’atac familiars

El mètode precís utilitzat pel Lotus Panda per trencar els seus últims objectius segueix sent desconegut. No obstant això, el grup té una història d'utilitzar atacs de pesca i pesca per obtenir l'accés inicial. Un cop dins, els atacants despleguen la porta del darrere de Sagerunex, que es creu que és una evolució d'una variant de programari maliciós més antiga coneguda com Evora .

Tàctiques evasives: explotació de serveis legítims

L'activitat recent vinculada al Lotus Panda ha revelat dues noves variants 'beta' de Sagerunex, identificades per cadenes de depuració dins del seu codi font. Aquestes versions utilitzen de manera intel·ligent serveis legítims com Dropbox, X (més conegut com Twitter) i Zimbra com a canals de comandament i control (C2), fent que la detecció sigui més difícil.

Funcions avançades de la porta posterior

La porta del darrere de Sagerunex està dissenyada per recopilar informació detallada sobre les màquines infectades, xifrar-la i exfiltrar-la a un servidor remot controlat pels atacants. S'ha informat que les variants Dropbox i X es van utilitzar entre el 2018 i el 2022, mentre que la versió Zimbra està operativa des del 2019.

Variant de correu web de Zimbra: un centre de control encobert

La variant de correu web de Zimbra de Sagerunex va més enllà de la simple recollida de dades. Permet als atacants enviar ordres a través del contingut de correu de Zimbra, controlant eficaçment les màquines compromeses. Si es detecta una ordre legítima en un correu electrònic, la porta posterior l'extreu i l'executa. En cas contrari, el programari maliciós elimina el correu electrònic i espera més instruccions. Els resultats de les ordres executades s'empaqueten com a arxius RAR i s'emmagatzemen a les carpetes d'esborrany i paperera de la bústia.

Un arsenal complet: eines addicionals en joc

El Lotus Panda no es basa únicament en Sagerunex. El grup desplega eines addicionals, com ara:

  • Un robador de galetes per recollir les credencials del navegador Chrome.
  • Venom, una utilitat de proxy de codi obert.
  • Una eina d'escalada de privilegis per obtenir un accés més elevat al sistema.
  • Programari personalitzat per comprimir i xifrar les dades recollides.

Reconeixement de la xarxa i restriccions d’evitació

S'ha observat que els atacants executaven ordres de reconeixement com ara net, tasklist, ipconfig i netstat per avaluar l'entorn objectiu. A més, comproven la connectivitat a Internet, ajustant el seu enfocament en funció de les restriccions de la xarxa. Si l'accés és limitat, intenten:

  • Utilitzeu la configuració del servidor intermediari de la víctima per establir una connexió.
  • Desplegueu l'eina intermediaria Venom per enllaçar màquines aïllades amb sistemes accessibles per Internet.

Una amenaça permanent

La contínua evolució del Lotus Panda i les tàctiques sofisticades indiquen que segueix sent una amenaça cibernètica important. La seva capacitat d'adaptar-se, aprofitar serveis legítims per sigil·los i executar operacions d'espionatge a llarg termini el converteixen en un adversari formidable per a les organitzacions de la regió Àsia-Pacífic i més enllà.

Tendència

Més vist

Carregant...