Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) Sagerunex malware-változatok

Sagerunex malware-változatok

Mezo -ra Advanced Persistent Threat (APT), Hátsó ajtók-ben
Fordítás ide:
Magyar

A Lotus Panda néven ismert hírhedt fenyegetést figyelték meg, amint kibertámadásokat indított a kormány, a gyártás, a távközlés és a média szektor ellen a Fülöp-szigeteken, Vietnamban, Hongkongban és Tajvanon. Ezek a támadások a Sagerunex backdoor frissített verzióit érintik, egy rosszindulatú programtörzs, amelyet a Lotus Panda legalább 2016 óta használ. Az APT (Advanced Persistent Threat) csoport továbbra is finomítja taktikáját, hosszú távú, állandó parancshéjakat alkalmaz, és rosszindulatú programarzenáljának új változatait fejleszti.

Egy jól ismert név a kiberkémkedésben

A Lotus Panda, más néven Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon és Thrip , egy feltételezett kínai hackerkollektíva, amely legalább 2009 óta aktív. A kiberbiztonsági kutatók először 2018 júniusában hozták nyilvánosságra működését, összekapcsolva a csoportot egy sor kiberkémkedési kampánysal Ázsiában.

A nagy horderejű behatolások története

2022 végén biztonsági szakértők részletezték a Lotus Panda támadását egy digitális tanúsító hatóság, valamint a kormányzati és védelmi ügynökségek ellen Ázsia szerte. Ezek a műveletek olyan kifinomult hátsó ajtók telepítését foglalták magukban, mint a Hannotog és a Sagerunex, hangsúlyozva a csoport azon képességét, hogy kompromittálja a kritikus intézményeket.

Nem világos belépési pontok, de ismerős támadási módszerek

A Lotus Panda által a legújabb célpontok megsértésére használt pontos módszer továbbra sem ismert. A csoport azonban már régebben is használt víznyelőt és lándzsás adathalász támadásokat a kezdeti hozzáférés megszerzése érdekében. A bejutást követően a támadók bevezetik a Sagerunex hátsó ajtót, amelyről úgy gondolják, hogy az Evora néven ismert régebbi malware-változat továbbfejlesztése.

Kitérő taktikák: A törvényes szolgáltatások kihasználása

A Lotus Pandához kapcsolódó közelmúltbeli tevékenység a Sagerunex két új „béta” változatát tárta fel, amelyeket a forráskódjukon belüli hibakeresési karakterláncok azonosítanak. Ezek a verziók ügyesen használnak olyan legitim szolgáltatásokat, mint a Dropbox, az X (ismertebb nevén a Twitter) és a Zimbra Command-and-Control (C2) csatornákként, így az észlelés nagyobb kihívást jelent.

Fejlett hátsó ajtó képességek

A Sagerunex hátsó ajtót úgy tervezték, hogy részletes információkat gyűjtsön a fertőzött gépekről, titkosítsa azokat, és átszivárogassa a támadók által irányított távoli szerverre. A jelentések szerint a Dropbox és az X változatokat 2018 és 2022 között használták, míg a Zimbra változat 2019 óta működik.

Zimbra webmail változat: titkos vezérlőközpont

A Sagerunex Zimbra webmail változata túlmutat az egyszerű adatgyűjtésen. Lehetővé teszi a támadók számára, hogy parancsokat küldjenek a Zimbra levelező tartalmán keresztül, hatékonyan vezérelve a feltört gépeket. Ha legitim parancsot észlel egy e-mailben, a hátsó ajtó kicsomagolja és végrehajtja azt. Ellenkező esetben a kártevő törli az e-mailt, és megvárja a további utasításokat. A végrehajtott parancsok eredményeit RAR archívumként csomagolják, és a postafiók piszkozataiban és kukáiban tárolják.

Teljes arzenál: további eszközök a játékban

A Lotus Panda nem kizárólag a Sagerunexre támaszkodik. A csoport további eszközöket telepít, többek között:

  • Egy cookie-lopó a Chrome böngésző hitelesítő adatainak begyűjtésére.
  • Venom, egy nyílt forráskódú proxy segédprogram.
  • Privilégium-eszkalációs eszköz a magasabb rendszer-hozzáférés eléréséhez.
  • Egyedi szoftver az összegyűjtött adatok tömörítéséhez és titkosításához.

Hálózati felderítés és megkerülési korlátozások

Megfigyelték, hogy a támadók felderítő parancsokat futtatnak, például net, tasklist, ipconfig és netstat a célkörnyezet felméréséhez. Ezenkívül ellenőrzik az internetkapcsolatot, és a hálózati korlátozások alapján módosítják megközelítésüket. Ha a hozzáférés korlátozott, megpróbálják:

  • Használja az áldozat proxy beállításait a kapcsolat létrehozásához.
  • Telepítse a Venom proxy eszközt az elszigetelt gépek internetelérhető rendszerekhez való csatlakoztatásához.

Folyamatos fenyegetés

A Lotus Panda folyamatos fejlődése és kifinomult taktikái azt jelzik, hogy továbbra is jelentős kiberfenyegetést jelent. Alkalmazkodási képessége, törvényes szolgáltatások kihasználása a lopakodó cél érdekében, és hosszú távú kémműveletek végrehajtása félelmetes ellenféllé teszi az ázsiai-csendes-óceáni térségben és azon túli szervezetek számára.

Felkapott

Legnézettebb

Betöltés...