Varianty malwaru Sagerunex
Notoricky známý aktér hrozby známý jako Lotus Panda byl pozorován při kybernetických útokech na vládní, výrobní, telekomunikační a mediální sektory na Filipínách, Vietnamu, Hongkongu a Tchaj-wanu. Tyto útoky zahrnují aktualizované verze zadních vrátek Sagerunex , kmen malwaru, který Lotus Panda využívá minimálně od roku 2016. Skupina APT (Advanced Persistent Threat) pokračuje ve zdokonalování své taktiky, využívá dlouhodobé perzistentní příkazové shelly a vyvíjí nové varianty svého malwarového arzenálu.
Obsah
Známé jméno v kybernetické špionáži
Lotus Panda, také známý jako Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon a Thrip , je podezřelý čínský hackerský kolektiv, který je aktivní minimálně od roku 2009. Výzkumníci v oblasti kybernetické bezpečnosti poprvé veřejně odhalili své operace v červnu 2018 a spojili skupinu se sérií kyberšpionážních kampaní po celé Asii.
Historie vysoce profilovaných narušení
Koncem roku 2022 bezpečnostní experti podrobně popsali útok Lotus Panda na digitální certifikační autoritu a také na vládní a obranné agentury v celé Asii. Tyto operace zahrnovaly nasazení sofistikovaných zadních vrátek, jako jsou Hannotog a Sagerunex, což podtrhovalo schopnost skupiny kompromitovat kritické instituce.
Nejasné vstupní body, ale známé metody útoku
Přesná metoda, kterou Lotus Panda používá k prolomení svých nejnovějších cílů, zůstává neznámá. Tato skupina však v minulosti používala k získání počátečního přístupu útoky typu watering hole a spear-phishing. Jakmile jsou uvnitř, útočníci nasadí zadní vrátka Sagerunex, o kterých se předpokládá, že jde o evoluci starší varianty malwaru známé jako Evora .
Úhybná taktika: Využívání legitimních služeb
Nedávná aktivita spojená s Lotus Panda odhalila dvě nové 'beta' varianty Sagerunexu, identifikované ladicími řetězci v jejich zdrojovém kódu. Tyto verze chytře využívají legitimní služby, jako je Dropbox, X (známější jako Twitter) a Zimbra jako kanály Command-and-Control (C2), takže detekce je náročnější.
Pokročilé možnosti zadních vrátek
Backdoor Sagerunex je navržen tak, aby shromažďoval podrobné informace o infikovaných počítačích, šifroval je a exfiltroval na vzdálený server ovládaný útočníky. Varianty Dropbox a X se údajně používaly v letech 2018 až 2022, zatímco verze Zimbra je v provozu od roku 2019.
Zimbra Webmail Varianta: Skryté ovládací centrum
Webmailová varianta Zimbra Sagerunex přesahuje jednoduchý sběr dat. Umožňuje útočníkům posílat příkazy prostřednictvím obsahu pošty Zimbra a efektivně kontrolovat napadené stroje. Pokud je v e-mailu detekován legitimní příkaz, backdoor jej extrahuje a provede. V opačném případě malware e-mail smaže a čeká na další pokyny. Výsledky provedených příkazů jsou zabaleny jako archivy RAR a uloženy ve složkách koncept a koš poštovní schránky.
Kompletní arzenál: Další nástroje ve hře
Lotus Panda se nespoléhá pouze na Sagerunex. Skupina nasazuje další nástroje, včetně:
- Zloděj souborů cookie ke sběru přihlašovacích údajů prohlížeče Chrome.
- Venom, open-source proxy nástroj.
- Nástroj pro eskalaci oprávnění pro získání vyššího přístupu k systému.
- Zakázkový software pro kompresi a šifrování shromážděných dat.
Průzkum sítě a obcházení omezení
Útočníci byli pozorováni při provádění průzkumných příkazů, jako je net, tasklist, ipconfig a netstat, aby vyhodnotili cílové prostředí. Kromě toho kontrolují připojení k internetu a přizpůsobují svůj přístup na základě omezení sítě. Pokud je přístup omezený, pokusí se:
- K navázání spojení použijte nastavení proxy oběti.
- Nasaďte proxy nástroj Venom k propojení izolovaných strojů se systémy přístupnými přes internet.
Trvalá hrozba
Pokračující vývoj a sofistikovaná taktika Lotus Panda naznačují, že zůstává významnou kybernetickou hrozbou. Jeho schopnost přizpůsobit se, využívat legitimní služby pro utajení a provádět dlouhodobé špionážní operace z něj činí impozantního protivníka pro organizace v asijsko-pacifickém regionu i mimo něj.
