Sagerunexi pahavara variandid
Lotus Pandana tuntud kurikuulsat ohutegijat on täheldatud küberrünnakute korraldamisel valitsus-, tootmis-, telekommunikatsiooni- ja meediasektorites Filipiinidel, Vietnamis, Hongkongis ja Taiwanis. Need rünnakud hõlmavad Sagerunexi tagaukse värskendatud versioone, pahavara tüve, mida Lotus Panda on kasutanud vähemalt 2016. aastast. APT (Advanced Persistent Threat) rühm jätkab oma taktika täiustamist, kasutades pikaajalisi püsivaid käsukestasid ja arendades oma pahavaraarsenali uusi variante.
Sisukord
Tuntud nimi küberspionaažis
Lotus Panda, tuntud ka kui Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon ja Thrip , on kahtlustatav Hiina häkkimiskollektiivi, mis on tegutsenud vähemalt 2009. aastast. Küberjulgeolekuteadlased avalikustasid oma tegevuse esmakordselt 2018. aasta juunis, sidudes rühmituse mitme Aasia küberspionaažikampaaniaga.
Kõrgetasemeliste sissetungide ajalugu
2022. aasta lõpus kirjeldasid turvaeksperdid üksikasjalikult Lotus Panda rünnakut digitaalse sertifikaadi asutuse ning valitsus- ja kaitseasutuste vastu kogu Aasias. Need operatsioonid hõlmasid keerukate tagauste, nagu Hannotog ja Sagerunex, kasutuselevõttu, rõhutades grupi võimet ohustada olulisi institutsioone.
Ebaselged sisenemispunktid, kuid tuttavad ründemeetodid
Täpne meetod, mida Lotus Panda oma viimaste eesmärkide saavutamiseks kasutas, jääb teadmata. Siiski on rühmitus kasutanud esmase juurdepääsu saamiseks vesiauku ja andmepüügirünnakuid. Sisse pääsenud ründajad juurutavad Sagerunexi tagaukse, mis arvatakse olevat vanema pahavaravariandi, tuntud kui Evora , edasiarendus.
Vältimistaktika: seaduslike teenuste ärakasutamine
Hiljutine Lotus Pandaga seotud tegevus on paljastanud kaks uut Sagerunexi "beeta" varianti, mis on tuvastatud nende lähtekoodi silumisstringide järgi. Need versioonid kasutavad kavalalt seaduslikke teenuseid, nagu Dropbox, X (tuntud paremini kui Twitter) ja Zimbra kui Command-and-Control (C2) kanaleid, muutes tuvastamise keerulisemaks.
Täiustatud tagaukse võimalused
Sagerunexi tagauks on loodud nakatunud masinate kohta üksikasjaliku teabe kogumiseks, selle krüptimiseks ja ründajate juhitavasse kaugserverisse viimiseks. Dropboxi ja X variandid olid väidetavalt kasutusel aastatel 2018–2022, Zimbra versioon on aga olnud kasutusel alates 2019. aastast.
Zimbra veebimeili variant: varjatud juhtimiskeskus
Sagerunexi Zimbra veebimeili variant läheb kaugemale lihtsast andmete kogumisest. See võimaldab ründajatel saata käske Zimbra meilisisu kaudu, kontrollides tõhusalt ohustatud masinaid. Kui meilis tuvastatakse seaduslik käsk, ekstraheerib tagauks selle ja täidab selle. Vastasel juhul kustutab pahavara meili ja ootab edasisi juhiseid. Täidetud käskude tulemused pakitakse RAR-i arhiividena ja salvestatakse postkasti mustandite ja prügikasti kaustadesse.
Täielik arsenal: lisatööriistad mängus
Lotus Panda ei tugine ainult Sagerunexile. Rühm kasutab täiendavaid tööriistu, sealhulgas:
- Küpsiste varastaja Chrome'i brauseri mandaatide kogumiseks.
- Venom, avatud lähtekoodiga puhverserveri utiliit.
- Privileegide eskaleerimise tööriist suurema juurdepääsu saamiseks süsteemile.
- Kohandatud tarkvara kogutud andmete tihendamiseks ja krüpteerimiseks.
Võrguga tutvumine ja piirangutest möödaminek
On täheldatud, et ründajad käitavad sihtkeskkonna hindamiseks luurekäske, nagu net, tasklist, ipconfig ja netstat. Lisaks kontrollivad nad Interneti-ühendust, kohandades oma lähenemisviisi võrgupiirangute alusel. Kui juurdepääs on piiratud, püüavad nad:
- Kasutage ühenduse loomiseks ohvri puhverserveri seadeid.
- Eraldatud masinate ühendamiseks Interneti-juurdepääsuga süsteemidega kasutage Venomi puhverserveri tööriista.
Jätkuv oht
Lotus Panda jätkuv areng ja keerukad taktikad näitavad, et see on endiselt märkimisväärne küberoht. Selle võime kohaneda, kasutada seaduslikke teenuseid salajaseks kasutamiseks ja viia läbi pikaajalisi spionaažioperatsioone muudab selle Aasia ja Vaikse ookeani piirkonna organisatsioonide jaoks tohutuks vastase.
