Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) Παραλλαγές κακόβουλου λογισμικού Sagerunex

Παραλλαγές κακόβουλου λογισμικού Sagerunex

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT), Backdoors
Μετάφραση σε:
Ελληνικά

Ο διαβόητος ηθοποιός απειλών γνωστό ως Lotus Panda έχει παρατηρηθεί να εξαπολύει κυβερνοεπιθέσεις σε τομείς της κυβέρνησης, της μεταποίησης, των τηλεπικοινωνιών και των μέσων ενημέρωσης στις Φιλιππίνες, το Βιετνάμ, το Χονγκ Κονγκ και την Ταϊβάν. Αυτές οι επιθέσεις περιλαμβάνουν ενημερωμένες εκδόσεις του Sagerunex backdoor, ένα είδος κακόβουλου λογισμικού που χρησιμοποιεί το Lotus Panda τουλάχιστον από το 2016. Η ομάδα APT (Advanced Persistent Threat) συνεχίζει να βελτιώνει τις τακτικές της, χρησιμοποιώντας μακροπρόθεσμα επίμονα κελύφη εντολών και αναπτύσσοντας νέες παραλλαγές του κακόβουλου λογισμικού της.

Ένα πολύ γνωστό όνομα στην κατασκοπεία στον κυβερνοχώρο

Το Lotus Panda, γνωστό και ως Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon και Thrip , είναι μια ύποπτη κινεζική ομάδα hacking που δραστηριοποιείται τουλάχιστον από το 2009. Οι ερευνητές κυβερνοασφάλειας αποκάλυψαν για πρώτη φορά δημόσια τις δραστηριότητές της τον Ιούνιο του 2018, συνδέοντας την ομάδα με μια σειρά από εκστρατείες στον κυβερνοχώρο στην Ασία.

Μια ιστορία εισβολών υψηλού προφίλ

Στα τέλη του 2022, ειδικοί σε θέματα ασφάλειας περιέγραψαν την επίθεση του Lotus Panda σε μια αρχή ψηφιακών πιστοποιητικών, καθώς και σε κυβερνητικούς και αμυντικούς οργανισμούς σε όλη την Ασία. Αυτές οι επιχειρήσεις περιελάμβαναν την ανάπτυξη εξελιγμένων κερκόπορτων όπως το Hannotog και το Sagerunex, υπογραμμίζοντας την ικανότητα του ομίλου να υπονομεύει κρίσιμους θεσμούς.

Ασαφή σημεία εισόδου αλλά γνωστές μέθοδοι επίθεσης

Η ακριβής μέθοδος που χρησιμοποίησε το Lotus Panda για να παραβιάσει τους τελευταίους στόχους του παραμένει άγνωστη. Ωστόσο, η ομάδα έχει ένα ιστορικό χρησιμοποίησης επιθέσεων με πότισμα και ψαρέματος με δόρυ για να αποκτήσει αρχική πρόσβαση. Μόλις μπουν μέσα, οι εισβολείς αναπτύσσουν την κερκόπορτα Sagerunex, η οποία πιστεύεται ότι είναι μια εξέλιξη μιας παλαιότερης παραλλαγής κακόβουλου λογισμικού γνωστής ως Evora .

Τακτικές Αποφυγής: Εκμετάλλευση Νόμιμων Υπηρεσιών

Η πρόσφατη δραστηριότητα που συνδέεται με το Lotus Panda αποκάλυψε δύο νέες παραλλαγές «beta» του Sagerunex, που προσδιορίζονται από συμβολοσειρές εντοπισμού σφαλμάτων στον πηγαίο κώδικα τους. Αυτές οι εκδόσεις χρησιμοποιούν έξυπνα νόμιμες υπηρεσίες όπως τα κανάλια Dropbox, X (γνωστό ως Twitter) και Zimbra ως κανάλια Command-and-Control (C2), κάνοντας τον εντοπισμό πιο δύσκολο.

Προηγμένες δυνατότητες Backdoor

Η κερκόπορτα Sagerunex έχει σχεδιαστεί για να συλλέγει λεπτομερείς πληροφορίες σχετικά με μολυσμένα μηχανήματα, να τις κρυπτογραφεί και να τις διοχετεύει σε έναν απομακρυσμένο διακομιστή που ελέγχεται από τους εισβολείς. Σύμφωνα με πληροφορίες, οι παραλλαγές Dropbox και X χρησιμοποιήθηκαν μεταξύ 2018 και 2022, ενώ η έκδοση Zimbra ήταν λειτουργική από το 2019.

Zimbra Webmail Variant: Ένα κρυφό κέντρο ελέγχου

Η παραλλαγή ηλεκτρονικού ταχυδρομείου Zimbra του Sagerunex υπερβαίνει την απλή συλλογή δεδομένων. Επιτρέπει στους εισβολείς να στέλνουν εντολές μέσω περιεχομένου αλληλογραφίας Zimbra, ελέγχοντας αποτελεσματικά μηχανήματα που έχουν παραβιαστεί. Εάν εντοπιστεί μια νόμιμη εντολή σε ένα email, το backdoor την εξάγει και την εκτελεί. Διαφορετικά, το κακόβουλο λογισμικό διαγράφει το email και περιμένει περαιτέρω οδηγίες. Τα αποτελέσματα των εντολών που εκτελούνται συσκευάζονται ως αρχεία RAR και αποθηκεύονται στους φακέλους πρόχειρων και απορριμμάτων του γραμματοκιβωτίου.

Ένα πλήρες Arsenal: Πρόσθετα εργαλεία στο παιχνίδι

Το Lotus Panda δεν βασίζεται αποκλειστικά στο Sagerunex. Η ομάδα αναπτύσσει πρόσθετα εργαλεία, όπως:

  • Ένας κλέφτης cookie για τη συλλογή των διαπιστευτηρίων του προγράμματος περιήγησης Chrome.
  • Venom, ένα βοηθητικό πρόγραμμα διακομιστή μεσολάβησης ανοιχτού κώδικα.
  • Ένα εργαλείο κλιμάκωσης προνομίων για να αποκτήσετε υψηλότερη πρόσβαση στο σύστημα.
  • Προσαρμοσμένο λογισμικό για τη συμπίεση και την κρυπτογράφηση συλλεγόμενων δεδομένων.

Αναγνώριση δικτύου και παράκαμψη περιορισμών

Οι εισβολείς έχουν παρατηρηθεί να εκτελούν εντολές αναγνώρισης όπως net, tasklist, ipconfig και netstat για να αξιολογήσουν το περιβάλλον στόχο. Επιπλέον, ελέγχουν για συνδεσιμότητα στο Διαδίκτυο, προσαρμόζοντας την προσέγγισή τους βάσει περιορισμών δικτύου. Εάν η πρόσβαση είναι περιορισμένη, επιχειρούν:

  • Χρησιμοποιήστε τις ρυθμίσεις διακομιστή μεσολάβησης του θύματος για να δημιουργήσετε μια σύνδεση.
  • Αναπτύξτε το εργαλείο μεσολάβησης Venom για να συνδέσετε απομονωμένα μηχανήματα με συστήματα προσβάσιμα στο διαδίκτυο.

Μια συνεχιζόμενη απειλή

Η συνεχής εξέλιξη και οι εξελιγμένες τακτικές του Lotus Panda δείχνουν ότι παραμένει μια σημαντική απειλή στον κυβερνοχώρο. Η ικανότητά του να προσαρμόζεται, να αξιοποιεί νόμιμες υπηρεσίες για stealth και να εκτελεί μακροπρόθεσμες επιχειρήσεις κατασκοπείας το καθιστά τρομερό αντίπαλο για οργανισμούς στην περιοχή Ασίας-Ειρηνικού και πέρα από αυτήν.

Τάσεις

Plebeianness.app

Adware, Κακόβουλο λογισμικό Mac, Πιθανώς ανεπιθύμητα προγράμματα
Ο κόσμος της κυβερνοασφάλειας εξελίσσεται διαρκώς και ακόμη και οι χρήστες Mac δεν έχουν ανοσία στις απειλές που θέτει το μη ασφαλές λογισμικό. Ένας τέτοιος ταραχοποιός που έχει αποκτήσει φήμη τον...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
24,920
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...