גרסאות תוכנות זדוניות של Sagerunex

שחקן האיום הידוע לשמצה המכונה פנדה הלוטוס נצפה משגר התקפות סייבר על מגזרי ממשל, ייצור, טלקומוניקציה ומדיה בפיליפינים, וייטנאם, הונג קונג וטייוואן. התקפות אלו כוללות גרסאות מעודכנות של הדלת האחורית של Sagerunex , זן תוכנות זדוניות שה-Lotus Panda ממנפת מאז לפחות 2016. קבוצת APT (Advanced Persistent Threat) ממשיכה לשכלל את הטקטיקות שלה, תוך שימוש במעטפות פקודה מתמשכות לטווח ארוך ומפתחת גרסאות חדשות של ארסנל התוכנות הזדוניות שלה.

שם ידוע בריגול סייבר

ה-Lotus Panda, הידוע גם בשם Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon, ו- Thrip , הוא קולקטיב פריצה סיני חשוד שפעיל מאז 2009 לפחות. חוקרי אבטחת סייבר חשפו לראשונה את פעילותו ביוני 2018, וקישרו את הקבוצה לסדרה של קמפיינים של ריגול סייבר ברחבי אסיה.

היסטוריה של חדירות בפרופיל גבוה

בסוף 2022, מומחי אבטחה פירטו את המתקפה של לוטוס פנדה על רשות תעודות דיגיטליות, כמו גם סוכנויות ממשלתיות והגנה ברחבי אסיה. פעולות אלה כללו פריסה של דלתות אחוריות מתוחכמות כמו Hanotog ו- Sagerunex, המדגישים את יכולתה של הקבוצה להתפשר על מוסדות קריטיים.

נקודות כניסה לא ברורות אבל שיטות התקפה מוכרות

השיטה המדויקת שבה השתמש הלוטוס פנדה כדי לפרוץ את המטרות האחרונות שלה עדיין לא ידועה. עם זאת, לקבוצה יש היסטוריה של שימוש בבור השקיה ופישינג חנית כדי להשיג גישה ראשונית. לאחר שנכנסו, התוקפים פורסים את הדלת האחורית של Sagerunex, אשר מאמינים כי היא אבולוציה של גרסת תוכנה זדונית ישנה יותר הידועה בשם Evora .

טקטיקות התחמקות: ניצול שירותים לגיטימיים

פעילות אחרונה המקושרת ל-Lotus Panda חשפה שתי גרסאות 'בטא' חדשות של Sagerunex, שזוהו על ידי מחרוזות ניפוי באגים בקוד המקור שלהן. גרסאות אלו משתמשות בחוכמה בשירותים לגיטימיים כגון Dropbox, X (הידוע יותר כ-Twitter), וזימברה כערוצי פיקוד ושליטה (C2), מה שהופך את הזיהוי למאתגר יותר.

יכולות מתקדמות של דלת אחורית

הדלת האחורית של Sagerunex נועדה לאסוף מידע מפורט על מכונות נגועות, להצפין אותו ולהוציא אותו לשרת מרוחק שנשלט על ידי התוקפים. על פי הדיווחים גרסאות Dropbox ו-X היו בשימוש בין 2018 ל-2022, בעוד שגרסת Zimbra פועלת מאז 2019.

Zimbra Webmail Variant: רכזת בקרה סמויה

גרסת דואר האינטרנט של Zimbra של Sagerunex חורגת מעבר לאיסוף נתונים פשוט. זה מאפשר לתוקפים לשלוח פקודות באמצעות תוכן דואר של Zimbra, תוך שליטה יעילה במכונות שנפרצו. אם מזוהה פקודה לגיטימית בדוא"ל, הדלת האחורית מחלצת ומבצעת אותה. אחרת, התוכנה הזדונית מוחקת את האימייל ומחכה להנחיות נוספות. התוצאות של הפקודות המבוצעות נארזות כארכיוני RAR ומאוחסנות בתיבת הדואר הטיוטה והתיקיות האשפה.

ארסנל מלאה: כלים נוספים במשחק

הלוטוס פנדה לא מסתמך רק על Sagerunex. הקבוצה פורסת כלים נוספים, כולל:

• גניבת קובצי Cookie לאסוף אישורי דפדפן Chrome.
• Venom, כלי פרוקסי בקוד פתוח.
• כלי להסלמה של הרשאות כדי לקבל גישה גבוהה יותר למערכת.
• תוכנה מותאמת אישית לדחיסה והצפנה של נתונים שנאספו.

סיור רשת ועקיפת הגבלות

התוקפים נצפו מריצים פקודות סיור כגון net, tasklist, ipconfig ו-netstat כדי להעריך את סביבת היעד. בנוסף, הם בודקים קישוריות לאינטרנט, ומתאים את הגישה שלהם על סמך מגבלות רשת. אם הגישה מוגבלת, הם מנסים:

• השתמש בהגדרות ה-proxy של הקורבן כדי ליצור חיבור.
• פרוס את כלי ה-proxy של Venom כדי לקשר מכונות מבודדות למערכות נגישות לאינטרנט.

איום מתמשך

המשך האבולוציה והטקטיקות המתוחכמות של לוטוס פנדה מצביעים על כך שהוא נותר איום סייבר משמעותי. היכולת שלה להסתגל, למנף שירותים לגיטימיים להתגנבות ולבצע פעולות ריגול ארוכות טווח הופכות אותה ליריב אדיר עבור ארגונים באזור אסיה-פסיפיק ומחוצה לה.