انواع بدافزار Sagerunex

این بازیگر بدنام تهدید به نام لوتوس پاندا در حال انجام حملات سایبری به بخش های دولتی، تولیدی، مخابراتی و رسانه ای در فیلیپین، ویتنام، هنگ کنگ و تایوان مشاهده شده است. این حملات شامل نسخه های به روز شده در پشتی Sagerunex است، یک نوع بدافزار که لوتوس پاندا حداقل از سال 2016 از آن استفاده کرده است. گروه APT (تهدید پایدار پیشرفته) همچنان به اصلاح تاکتیک های خود ادامه می دهد و از پوسته های فرمان پایدار طولانی مدت و توسعه انواع جدیدی از بدافزارهای خود استفاده می کند.

نامی شناخته شده در جاسوسی سایبری

لوتوس پاندا که با نام‌های Billbug، Bronze Elgin، Lotus Blossom، Spring Dragon و Thrip نیز شناخته می‌شود، یک گروه هکری مشکوک چینی است که حداقل از سال 2009 فعال بوده است. محققان امنیت سایبری برای اولین بار در ژوئن 2018 عملیات آن را به طور عمومی افشا کردند و این گروه را به یک سری کمپین‌های سایبری در سراسر آسیا مرتبط کردند.

تاریخچه نفوذهای با مشخصات بالا

در اواخر سال 2022، کارشناسان امنیتی جزئیات حمله لوتوس پاندا به یک مرجع گواهی دیجیتال و همچنین آژانس های دولتی و دفاعی در سراسر آسیا را شرح دادند. این عملیات شامل استقرار درهای پشتی پیچیده مانند Hannotog و Sagerunex بود که بر توانایی گروه در به خطر انداختن نهادهای حیاتی تاکید می کرد.

نقاط ورود نامشخص اما روش‌های حمله آشنا

روش دقیق استفاده شده توسط لوتوس پاندا برای نقض آخرین اهداف خود ناشناخته باقی مانده است. با این حال، این گروه سابقه استفاده از سوراخ‌های آبی و حملات نیزه‌ای برای دسترسی اولیه را دارد. مهاجمان پس از داخل شدن، درپشتی Sagerunex را مستقر می کنند که گمان می رود تکامل یک بدافزار قدیمی به نام Evora باشد.

تاکتیک های فراری: بهره برداری از خدمات مشروع

فعالیت‌های اخیر مرتبط با لوتوس پاندا، دو نوع «بتا» جدید Sagerunex را نشان داده است که توسط رشته‌های اشکال‌زدایی در کد منبع آن‌ها شناسایی شده‌اند. این نسخه ها هوشمندانه از سرویس های قانونی مانند Dropbox، X (به عنوان کانال های Command-and-Control (C2) و Zimbra به عنوان کانال های فرمان و کنترل (C2) استفاده می کنند که تشخیص را چالش برانگیزتر می کند.

قابلیت های پیشرفته درب پشتی

درپشتی Sagerunex برای جمع‌آوری اطلاعات دقیق در مورد ماشین‌های آلوده، رمزگذاری آن و استخراج آن به یک سرور راه دور که توسط مهاجمان کنترل می‌شود، طراحی شده است. طبق گزارش‌ها، نسخه‌های Dropbox و X بین سال‌های 2018 تا 2022 مورد استفاده قرار گرفتند، در حالی که نسخه زیمبرا از سال 2019 عملیاتی شده است.

نوع وب میل زیمبرا: یک مرکز کنترل مخفی

نوع ایمیل زیمبرا Sagerunex فراتر از جمع آوری داده های ساده است. این مهاجمان را قادر می سازد تا دستورات را از طریق محتوای ایمیل زیمبرا ارسال کنند و به طور موثر ماشین های در معرض خطر را کنترل کنند. اگر یک فرمان قانونی در یک ایمیل شناسایی شود، درب پشتی آن را استخراج و اجرا می کند. در غیر این صورت، بدافزار ایمیل را حذف می کند و منتظر دستورالعمل های بعدی می ماند. نتایج دستورات اجرا شده به صورت بایگانی RAR بسته بندی شده و در پوشه های پیش نویس و سطل زباله صندوق پست ذخیره می شود.

یک آرسنال کامل: ابزارهای اضافی در بازی

لوتوس پاندا تنها به Sagerunex متکی نیست. این گروه ابزارهای اضافی از جمله:

• یک دزد کوکی برای جمع آوری اطلاعات کاربری مرورگر کروم.
• Venom، یک ابزار پراکسی منبع باز.
• یک ابزار افزایش امتیاز برای دستیابی به دسترسی بالاتر به سیستم.
• نرم افزار سفارشی برای فشرده سازی و رمزگذاری داده های جمع آوری شده.

شناسایی شبکه و دور زدن محدودیت ها

مشاهده شده است که مهاجمان دستورات شناسایی مانند net، tasklist، ipconfig و netstat را برای ارزیابی محیط هدف اجرا می کنند. علاوه بر این، آنها اتصال به اینترنت را بررسی می کنند و رویکرد خود را بر اساس محدودیت های شبکه تنظیم می کنند. اگر دسترسی محدود باشد، آنها تلاش می کنند:

• از تنظیمات پروکسی قربانی برای برقراری ارتباط استفاده کنید.
• ابزار Proxy Venom را برای پیوند دادن ماشین‌های ایزوله به سیستم‌های قابل دسترسی به اینترنت بکار ببرید.

یک تهدید مداوم

تداوم تکامل لوتوس پاندا و تاکتیک های پیچیده نشان می دهد که همچنان یک تهدید سایبری قابل توجه است. توانایی آن در انطباق، استفاده از خدمات قانونی برای مخفی کاری، و اجرای عملیات جاسوسی بلندمدت، آن را به یک دشمن بزرگ برای سازمان‌های منطقه آسیا و اقیانوسیه و فراتر از آن تبدیل می‌کند.