Sagerunexin haittaohjelmaversiot
Pahamaineisen uhkatekijän, joka tunnetaan nimellä Lotus Panda, on havaittu käynnistävän kyberhyökkäyksiä hallitusta, valmistusta, televiestintä- ja mediasektoreita vastaan Filippiineillä, Vietnamissa, Hongkongissa ja Taiwanissa. Nämä hyökkäykset koskevat päivitettyjä versioita Sagerunex- takaovesta, haittaohjelmakannasta, jota Lotus Panda on hyödyntänyt ainakin vuodesta 2016 lähtien. APT (Advanced Persistent Threat) -ryhmä jatkaa taktiikkansa jalostamista käyttämällä pitkäaikaisia, pysyviä komentokulkoja ja kehittäen uusia muunnelmia haittaohjelmaarsenaalistaan.
Sisällysluettelo
Tunnettu nimi kybervakoilussa
Lotus Panda, joka tunnetaan myös nimellä Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon ja Thrip , on epäilty kiinalainen hakkerointikollektiivi, joka on ollut aktiivinen ainakin vuodesta 2009 lähtien. Kyberturvallisuustutkijat paljastivat toimintansa ensimmäisen kerran julkisesti kesäkuussa 2018 yhdistäen ryhmän useisiin kybervakoilukampanjoihin Aasiassa.
Korkean profiilin tunkeutumisen historia
Vuoden 2022 lopulla turvallisuusasiantuntijat kuvasivat yksityiskohtaisesti Lotus Pandan hyökkäystä digitaalisen varmenteen viranomaista sekä hallitusta ja puolustusvirastoja vastaan Aasiassa. Näihin operaatioihin sisältyi kehittyneiden takaovien, kuten Hannotog ja Sagerunex, käyttöönotto, mikä korostaa ryhmän kykyä vaarantaa kriittisiä instituutioita.
Epäselvät sisääntulokohdat, mutta tutut hyökkäysmenetelmät
Tarkka menetelmä, jota Lotus Panda käyttää uusimpien tavoitteidensa rikkomiseen, on edelleen tuntematon. Ryhmä on kuitenkin aiemmin käyttänyt kasteluaika- ja keihäs-phishing-hyökkäyksiä päästäkseen sisään. Sisään päästyään hyökkääjät ottavat käyttöön Sagerunex-takaoven, jonka uskotaan olevan Evora- nimisen haittaohjelmaversion kehitys.
Kiertotaktiikka: Laillisten palvelujen hyödyntäminen
Viimeaikainen Lotus Pandaan liittyvä toiminta on paljastanut kaksi uutta Sagerunexin "beta"-versiota, jotka tunnistetaan niiden lähdekoodin virheenkorjausmerkkijonoista. Nämä versiot käyttävät taitavasti laillisia palveluita, kuten Dropboxia, X:ää (tunnetaan paremmin nimellä Twitter) ja Zimbraa Command-and-Control (C2) -kanavina, mikä tekee havaitsemisesta haastavampaa.
Edistyneet takaoven ominaisuudet
Sagerunex-takaovi on suunniteltu keräämään yksityiskohtaisia tietoja tartunnan saaneista koneista, salaamaan ne ja suodattamaan ne hyökkääjien hallitsemalle etäpalvelimelle. Dropbox- ja X-versiot olivat tiettävästi käytössä vuosina 2018–2022, kun taas Zimbra-versio on ollut käytössä vuodesta 2019.
Zimbra Webmail Variant: salattu ohjauskeskus
Sagerunexin Zimbra-webmail-versio ylittää yksinkertaisen tiedonkeruun. Sen avulla hyökkääjät voivat lähettää komentoja Zimbra-sähköpostisisällön kautta ja hallita tehokkaasti vaarantuneita koneita. Jos sähköpostissa havaitaan laillinen komento, takaovi purkaa ja suorittaa sen. Muussa tapauksessa haittaohjelma poistaa sähköpostin ja odottaa lisäohjeita. Suoritettujen komentojen tulokset pakataan RAR-arkistoihin ja tallennetaan postilaatikon luonnos- ja roskakorikansioihin.
Täysi arsenaali: lisätyökaluja pelissä
Lotus Panda ei luota pelkästään Sagerunexiin. Ryhmä ottaa käyttöön lisätyökaluja, mukaan lukien:
- Evästevarastaja Chrome-selaimen kirjautumistietojen keräämiseen.
- Venom, avoimen lähdekoodin välityspalvelinapuohjelma.
- Etuoikeuksien eskalointityökalu paremman järjestelmän käyttöoikeuden saamiseksi.
- Mukautettu ohjelmisto kerättyjen tietojen pakkaamiseen ja salaamiseen.
Verkon tiedustelu ja ohitusrajoitukset
Hyökkääjien on havaittu suorittavan tiedustelukomentoja, kuten net, tasklist, ipconfig ja netstat kohdeympäristön arvioimiseksi. Lisäksi he tarkistavat Internet-yhteyden ja muokkaavat lähestymistapaansa verkkorajoitusten perusteella. Jos pääsy on rajoitettu, he yrittävät:
- Käytä uhrin välityspalvelinasetuksia yhteyden muodostamiseen.
- Ota käyttöön Venom-välityspalvelin, jonka avulla voit linkittää eristettyjä koneita Internetiin käytettäviin järjestelmiin.
Jatkuva uhka
Lotus Pandan jatkuva kehitys ja hienostunut taktiikka osoittavat, että se on edelleen merkittävä kyberuhka. Sen kyky mukautua, hyödyntää laillisia palveluita varkain ja suorittaa pitkäaikaisia vakoiluoperaatioita tekee siitä valtavan vihollisen organisaatioille Aasian ja Tyynenmeren alueella ja sen ulkopuolella.
