Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) Varijante zlonamjernog softvera Sagerunex

Varijante zlonamjernog softvera Sagerunex

Do Mezo. Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:
Hrvatski

Ozloglašeni akter prijetnje poznat kao Lotus Panda primijećen je kako pokreće kibernetičke napade na vladine, proizvodne, telekomunikacijske i medijske sektore na Filipinima, Vijetnamu, Hong Kongu i Tajvanu. Ovi napadi uključuju ažurirane verzije Sagerunex stražnjih vrata, vrste zlonamjernog softvera koji Lotus Panda koristi najmanje od 2016. Grupa APT (Advanced Persistent Threat) nastavlja usavršavati svoju taktiku, koristeći dugotrajne postojane naredbene ljuske i razvijajući nove varijante svog arsenala zlonamjernog softvera.

Dobro poznato ime u cyber špijunaži

Lotus Panda, također poznata kao Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon i Thrip , osumnjičeni je kineski hakerski kolektiv koji je aktivan najmanje od 2009. Istraživači kibernetičke sigurnosti prvi su put javno razotkrili svoje operacije u lipnju 2018., povezujući grupu s nizom kampanja kibernetičke špijunaže diljem Azije.

Povijest visokoprofilnih upada

Krajem 2022. sigurnosni stručnjaci detaljno su opisali napad Lotus Pande na autoritet za digitalne certifikate, kao i vladine i obrambene agencije diljem Azije. Ove operacije uključivale su implementaciju sofisticiranih stražnjih vrata kao što su Hannotog i Sagerunex, naglašavajući sposobnost grupe da ugrozi kritične institucije.

Nejasne ulazne točke, ali poznate metode napada

Točna metoda koju je Lotus Panda koristila za probijanje svojih najnovijih ciljeva ostaje nepoznata. Međutim, grupa ima povijest korištenja phishing napada kako bi dobila početni pristup. Kad uđu unutra, napadači postavljaju Sagerunex backdoor, za koji se vjeruje da je evolucija starije varijante zlonamjernog softvera poznate kao Evora .

Taktike izbjegavanja: Iskorištavanje legitimnih usluga

Nedavna aktivnost povezana s Lotus Pandom otkrila je dvije nove 'beta' varijante Sagerunexa, identificirane nizovima za otklanjanje pogrešaka unutar njihovog izvornog koda. Ove verzije pametno koriste legitimne usluge kao što su Dropbox, X (poznatiji kao Twitter) i Zimbra kao Command-and-Control (C2) kanale, čineći otkrivanje još izazovnijim.

Napredne backdoor mogućnosti

Sagerunex backdoor dizajniran je za prikupljanje detaljnih informacija o zaraženim strojevima, njihovo šifriranje i eksfiltraciju na udaljeni poslužitelj kojim upravljaju napadači. Dropbox i X varijante navodno su bile u upotrebi između 2018. i 2022., dok je Zimbra verzija operativna od 2019. godine.

Zimbra varijanta web pošte: tajno kontrolno središte

Zimbra webmail varijanta Sagerunexa nadilazi jednostavno prikupljanje podataka. Omogućuje napadačima slanje naredbi putem sadržaja Zimbra pošte, učinkovito kontrolirajući kompromitirane strojeve. Ako se u e-poruci otkrije legitimna naredba, backdoor je izdvaja i izvršava. U suprotnom, zlonamjerni softver briše e-poštu i čeka daljnje upute. Rezultati izvršenih naredbi pakiraju se kao RAR arhive i pohranjuju u mape nacrta i smeća poštanskog sandučića.

Potpuni arsenal: dodatni alati u igri

Lotus Panda se ne oslanja samo na Sagerunex. Grupa postavlja dodatne alate, uključujući:

  • Kradljivac kolačića za prikupljanje vjerodajnica preglednika Chrome.
  • Venom, proxy uslužni program otvorenog koda.
  • Alat za eskalaciju privilegija za dobivanje višeg pristupa sustavu.
  • Prilagođeni softver za sažimanje i šifriranje prikupljenih podataka.

Mrežno izviđanje i zaobilaženje ograničenja

Napadači su primijećeni kako pokreću izviđačke naredbe kao što su net, tasklist, ipconfig i netstat za procjenu ciljnog okruženja. Osim toga, provjeravaju internetsku vezu, prilagođavajući svoj pristup na temelju mrežnih ograničenja. Ako je pristup ograničen, pokušavaju:

  • Upotrijebite proxy postavke žrtve za uspostavljanje veze.
  • Postavite Venom proxy alat za povezivanje izoliranih strojeva sa sustavima dostupnim putem interneta.

Trajna prijetnja

Neprekidna evolucija i sofisticirana taktika Lotus Pande pokazuju da ona i dalje predstavlja značajnu kibernetičku prijetnju. Njegova sposobnost prilagođavanja, iskorištavanja legitimnih usluga za prikrivanje i izvršavanje dugoročnih špijunskih operacija čini ga strašnim protivnikom za organizacije u azijsko-pacifičkoj regiji i šire.

U trendu

Nagledanije

Učitavam...