Sagerunex मैलवेयर वेरिएंट
लोटस पांडा के नाम से कुख्यात खतरा पैदा करने वाले को फिलीपींस, वियतनाम, हांगकांग और ताइवान में सरकारी, विनिर्माण, दूरसंचार और मीडिया क्षेत्रों पर साइबर हमले करते देखा गया है। इन हमलों में सेगरुनेक्स बैकडोर के अपडेटेड वर्जन शामिल हैं, जो एक मैलवेयर स्ट्रेन है जिसका लोटस पांडा कम से कम 2016 से लाभ उठा रहा है। APT (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह अपनी रणनीति को परिष्कृत करना जारी रखता है, दीर्घकालिक पर्सिस्टेंट कमांड शेल का उपयोग करता है और अपने मैलवेयर शस्त्रागार के नए वेरिएंट विकसित करता है।
विषयसूची
साइबर जासूसी में एक जाना-माना नाम
लोटस पांडा, जिसे बिलबग, ब्रॉन्ज़ एल्गिन, लोटस ब्लॉसम, स्प्रिंग ड्रैगन और थ्रिप के नाम से भी जाना जाता है, एक संदिग्ध चीनी हैकिंग समूह है जो कम से कम 2009 से सक्रिय है। साइबर सुरक्षा शोधकर्ताओं ने पहली बार जून 2018 में इसके संचालन को सार्वजनिक रूप से उजागर किया, समूह को पूरे एशिया में साइबर जासूसी अभियानों की एक श्रृंखला से जोड़ा।
हाई-प्रोफाइल घुसपैठ का इतिहास
2022 के अंत में, सुरक्षा विशेषज्ञों ने डिजिटल प्रमाणपत्र प्राधिकरण, साथ ही एशिया भर में सरकारी और रक्षा एजेंसियों पर लोटस पांडा के हमले का विस्तृत विवरण दिया। इन ऑपरेशनों में हैनोटोग और सेगरुनेक्स जैसे परिष्कृत बैकडोर की तैनाती शामिल थी, जो महत्वपूर्ण संस्थानों से समझौता करने की समूह की क्षमता को रेखांकित करता है।
अस्पष्ट प्रवेश बिंदु लेकिन परिचित हमले के तरीके
लोटस पांडा द्वारा अपने नवीनतम लक्ष्यों को भेदने के लिए इस्तेमाल की जाने वाली सटीक विधि अभी भी अज्ञात है। हालाँकि, समूह के पास प्रारंभिक पहुँच प्राप्त करने के लिए वाटरिंग होल और स्पीयर-फ़िशिंग हमलों को नियोजित करने का इतिहास है। एक बार अंदर जाने के बाद, हमलावर सेगरुनेक्स बैकडोर का उपयोग करते हैं, जिसे इवोरा नामक एक पुराने मैलवेयर संस्करण का विकास माना जाता है।
टालमटोल की रणनीति: वैध सेवाओं का दोहन
लोटस पांडा से जुड़ी हालिया गतिविधि ने सेगरुनेक्स के दो नए 'बीटा' वेरिएंट का खुलासा किया है, जिन्हें उनके स्रोत कोड के भीतर डीबग स्ट्रिंग द्वारा पहचाना गया है। ये संस्करण ड्रॉपबॉक्स, एक्स (जिसे ट्विटर के रूप में बेहतर जाना जाता है) और ज़िम्ब्रा जैसी वैध सेवाओं का चतुराई से कमांड-एंड-कंट्रोल (सी2) चैनलों के रूप में उपयोग करते हैं, जिससे पता लगाना अधिक चुनौतीपूर्ण हो जाता है।
उन्नत बैकडोर क्षमताएं
सेगरुनेक्स बैकडोर को संक्रमित मशीनों के बारे में विस्तृत जानकारी एकत्र करने, उसे एन्क्रिप्ट करने और हमलावरों द्वारा नियंत्रित रिमोट सर्वर पर भेजने के लिए डिज़ाइन किया गया है। ड्रॉपबॉक्स और एक्स वेरिएंट कथित तौर पर 2018 और 2022 के बीच उपयोग में थे, जबकि ज़िम्ब्रा संस्करण 2019 से चालू है।
ज़िम्ब्रा वेबमेल संस्करण: एक गुप्त नियंत्रण केंद्र
सेगरुनेक्स का ज़िम्ब्रा वेबमेल संस्करण सरल डेटा संग्रह से परे है। यह हमलावरों को ज़िम्ब्रा मेल सामग्री के माध्यम से आदेश भेजने में सक्षम बनाता है, जिससे समझौता किए गए मशीनों को प्रभावी ढंग से नियंत्रित किया जा सकता है। यदि किसी ईमेल में कोई वैध आदेश पाया जाता है, तो बैकडोर उसे निकालता है और निष्पादित करता है। अन्यथा, मैलवेयर ईमेल को हटा देता है और आगे के निर्देशों की प्रतीक्षा करता है। निष्पादित आदेशों के परिणामों को RAR अभिलेखागार के रूप में पैक किया जाता है और मेलबॉक्स के ड्राफ्ट और ट्रैश फ़ोल्डर में संग्रहीत किया जाता है।
एक पूर्ण शस्त्रागार: खेल में अतिरिक्त उपकरण
लोटस पांडा सिर्फ़ सेगरुनेक्स पर निर्भर नहीं है। समूह अतिरिक्त उपकरण भी तैनात करता है, जिनमें शामिल हैं:
- क्रोम ब्राउज़र क्रेडेंशियल्स को चुराने वाला एक कुकी चोर।
- वेनम, एक ओपन-सोर्स प्रॉक्सी उपयोगिता।
- उच्चतर सिस्टम पहुंच प्राप्त करने के लिए एक विशेषाधिकार वृद्धि उपकरण।
- एकत्रित डेटा को संपीड़ित और एन्क्रिप्ट करने के लिए कस्टम सॉफ्टवेयर।
नेटवर्क टोही और प्रतिबंधों को दरकिनार करना
हमलावरों को लक्षित वातावरण का आकलन करने के लिए नेट, टास्कलिस्ट, आईपीकॉन्फिग और नेटस्टैट जैसे टोही कमांड चलाते हुए देखा गया है। इसके अतिरिक्त, वे इंटरनेट कनेक्टिविटी की जांच करते हैं, नेटवर्क प्रतिबंधों के आधार पर अपने दृष्टिकोण को समायोजित करते हैं। यदि पहुँच सीमित है, तो वे निम्न का प्रयास करते हैं:
- कनेक्शन स्थापित करने के लिए पीड़ित की प्रॉक्सी सेटिंग्स का उपयोग करें।
- पृथक मशीनों को इंटरनेट-सुलभ प्रणालियों से जोड़ने के लिए वेनम प्रॉक्सी टूल का उपयोग करें।
एक सतत खतरा
लोटस पांडा के निरंतर विकास और परिष्कृत रणनीति से संकेत मिलता है कि यह एक महत्वपूर्ण साइबर खतरा बना हुआ है। अनुकूलन करने, गुप्त रूप से वैध सेवाओं का लाभ उठाने और दीर्घकालिक जासूसी अभियानों को अंजाम देने की इसकी क्षमता इसे एशिया-प्रशांत क्षेत्र और उससे आगे के संगठनों के लिए एक दुर्जेय प्रतिद्वंद्वी बनाती है।
