Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) Sagerunex Malware-varianter

Sagerunex Malware-varianter

Med Mezo i Advanced Persistent Threat (APT), Bagdøre
Oversæt til:
Dansk

Den berygtede trusselsaktør kendt som Lotus Panda er blevet observeret igangsætte cyberangreb på regerings-, fremstillings-, telekommunikations- og mediesektoren i Filippinerne, Vietnam, Hong Kong og Taiwan. Disse angreb involverer opdaterede versioner af Sagerunex -bagdøren, en malware-stamme, som Lotus Panda har udnyttet siden mindst 2016. APT-gruppen (Advanced Persistent Threat) fortsætter med at forfine sin taktik, anvender langsigtede, vedvarende kommandoskaller og udvikler nye varianter af sit malware-arsenal.

Et velkendt navn inden for cyberspionage

Lotus Panda, også kendt som Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon og Thrip , er et mistænkt kinesisk hacking-kollektiv, der har været aktivt siden mindst 2009. Cybersikkerhedsforskere afslørede først dets operationer offentligt i juni 2018, og kædede gruppen sammen med en række cyber-spionagekampagner på tværs af Asien.

En historie om højprofilerede indtrængen

I slutningen af 2022 beskrev sikkerhedseksperter Lotus Pandas angreb på en digital certifikatmyndighed, såvel som regerings- og forsvarsagenturer i hele Asien. Disse operationer involverede indsættelse af sofistikerede bagdøre som Hannotog og Sagerunex, hvilket understreger gruppens evne til at kompromittere kritiske institutioner.

Uklare indgangspunkter, men velkendte angrebsmetoder

Den præcise metode, som Lotus Panda brugte til at bryde sine seneste mål, er stadig ukendt. Imidlertid har gruppen en historie med at bruge vandhul og spyd-phishing-angreb for at få indledende adgang. Når angriberne først er inde, installerer angriberne Sagerunex-bagdøren, som menes at være en udvikling af en ældre malware-variant kendt som Evora .

Undvigende taktik: Udnyttelse af legitime tjenester

Nylig aktivitet knyttet til Lotus Panda har afsløret to nye 'beta'-varianter af Sagerunex, identificeret ved debug-strenge i deres kildekode. Disse versioner bruger smarte legitime tjenester såsom Dropbox, X (bedre kendt som Twitter) og Zimbra som Command-and-Control (C2)-kanaler, hvilket gør detektion mere udfordrende.

Avancerede bagdørsfunktioner

Sagerunex-bagdøren er designet til at indsamle detaljerede oplysninger om inficerede maskiner, kryptere den og eksfiltrere den til en fjernserver, der kontrolleres af angriberne. Dropbox- og X-varianterne var angiveligt i brug mellem 2018 og 2022, mens Zimbra-versionen har været operationel siden 2019.

Zimbra Webmail Variant: A Covert Control Hub

Zimbra webmail-varianten af Sagerunex går ud over simpel dataindsamling. Det gør det muligt for angribere at sende kommandoer via Zimbra-mailindhold, hvilket effektivt kontrollerer kompromitterede maskiner. Hvis der registreres en legitim kommando i en e-mail, udtrækker og udfører bagdøren den. Ellers sletter malwaren e-mailen og venter på yderligere instruktioner. Resultaterne af udførte kommandoer pakkes som RAR-arkiver og gemmes i postkassens kladde- og papirkurvsmapper.

A Full Arsenal: Yderligere værktøjer i spil

Lotus Panda er ikke udelukkende afhængig af Sagerunex. Gruppen implementerer yderligere værktøjer, herunder:

  • En cookie-tyver til at indsamle Chrome-browser-legitimationsoplysninger.
  • Venom, et open source proxy-værktøj.
  • Et privilegieeskaleringsværktøj til at få højere systemadgang.
  • Brugerdefineret software til komprimering og kryptering af indsamlede data.

Netværksrekognoscering og omgåelse af begrænsninger

Angriberne er blevet observeret at køre rekognosceringskommandoer såsom net, tasklist, ipconfig og netstat for at vurdere målmiljøet. Derudover tjekker de for internetforbindelse og justerer deres tilgang baseret på netværksbegrænsninger. Hvis adgangen er begrænset, forsøger de at:

  • Brug offerets proxy-indstillinger til at etablere en forbindelse.
  • Implementer Venom-proxyværktøjet til at linke isolerede maskiner til internettilgængelige systemer.

En vedvarende trussel

Lotus Pandas fortsatte udvikling og sofistikerede taktik indikerer, at det fortsat er en betydelig cybertrussel. Dens evne til at tilpasse sig, udnytte legitime tjenester til stealth og udføre langsigtede spionageoperationer gør det til en formidabel modstander for organisationer i Asien-Stillehavsområdet og videre.

Trending

Mest sete

Indlæser...