Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) Varianti del malware Sagerunex

Varianti del malware Sagerunex

Entro Mezo nel Minaccia persistente avanzata (APT), Porte sul retro
Traduci in:
Italiano

Il famigerato attore di minacce noto come Lotus Panda è stato osservato mentre lanciava attacchi informatici ai settori governativo, manifatturiero, delle telecomunicazioni e dei media nelle Filippine, in Vietnam, a Hong Kong e a Taiwan. Questi attacchi coinvolgono versioni aggiornate della backdoor Sagerunex , un ceppo di malware che Lotus Panda sta sfruttando almeno dal 2016. Il gruppo APT (Advanced Persistent Threat) continua a perfezionare le sue tattiche, impiegando shell di comando persistenti a lungo termine e sviluppando nuove varianti del suo arsenale di malware.

Un nome ben noto nello spionaggio informatico

Il Lotus Panda, noto anche come Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon e Thrip , è un presunto collettivo di hacker cinesi attivo almeno dal 2009. I ricercatori di sicurezza informatica hanno esposto pubblicamente per la prima volta le sue operazioni nel giugno 2018, collegando il gruppo a una serie di campagne di spionaggio informatico in tutta l'Asia.

Una storia di intrusioni di alto profilo

Verso la fine del 2022, gli esperti di sicurezza hanno descritto in dettaglio l'attacco di Lotus Panda a un'autorità di certificazione digitale, nonché ad agenzie governative e di difesa in tutta l'Asia. Queste operazioni hanno comportato l'implementazione di backdoor sofisticate come Hannotog e Sagerunex, sottolineando la capacità del gruppo di compromettere istituzioni critiche.

Punti di ingresso poco chiari ma metodi di attacco familiari

Il metodo preciso utilizzato da Lotus Panda per violare i suoi ultimi obiettivi rimane sconosciuto. Tuttavia, il gruppo ha una storia di utilizzo di attacchi watering hole e spear-phishing per ottenere l'accesso iniziale. Una volta all'interno, gli aggressori distribuiscono la backdoor Sagerunex, che si ritiene sia un'evoluzione di una variante di malware più vecchia nota come Evora .

Tattiche evasive: sfruttare i servizi legittimi

Le recenti attività collegate a Lotus Panda hanno rivelato due nuove varianti "beta" di Sagerunex, identificate da stringhe di debug all'interno del loro codice sorgente. Queste versioni utilizzano abilmente servizi legittimi come Dropbox, X (meglio noto come Twitter) e Zimbra come canali Command-and-Control (C2), rendendo il rilevamento più impegnativo.

Funzionalità avanzate di backdoor

La backdoor Sagerunex è progettata per raccogliere informazioni dettagliate sulle macchine infette, crittografarle ed esfiltrarle su un server remoto controllato dagli aggressori. Le varianti Dropbox e X sarebbero state in uso tra il 2018 e il 2022, mentre la versione Zimbra è operativa dal 2019.

Variante di Zimbra Webmail: un hub di controllo nascosto

La variante webmail Zimbra di Sagerunex va oltre la semplice raccolta di dati. Consente agli aggressori di inviare comandi tramite il contenuto della posta Zimbra, controllando efficacemente le macchine compromesse. Se un comando legittimo viene rilevato in un'e-mail, la backdoor lo estrae ed esegue. In caso contrario, il malware elimina l'e-mail e attende ulteriori istruzioni. I risultati dei comandi eseguiti vengono impacchettati come archivi RAR e archiviati nelle cartelle bozze e cestino della casella di posta.

Un arsenale completo: strumenti aggiuntivi in gioco

Il Lotus Panda non si affida solo a Sagerunex. Il gruppo distribuisce strumenti aggiuntivi, tra cui:

  • Un ladro di cookie che ruba le credenziali del browser Chrome.
  • Venom, un'utilità proxy open source.
  • Uno strumento di escalation dei privilegi per ottenere un maggiore accesso al sistema.
  • Software personalizzato per la compressione e la crittografia dei dati raccolti.

Ricognizione di rete e aggiramento delle restrizioni

Gli aggressori sono stati osservati mentre eseguivano comandi di ricognizione come net, tasklist, ipconfig e netstat per valutare l'ambiente di destinazione. Inoltre, controllano la connettività Internet, adattando il loro approccio in base alle restrizioni di rete. Se l'accesso è limitato, tentano di:

  • Utilizzare le impostazioni proxy della vittima per stabilire una connessione.
  • Distribuire lo strumento proxy Venom per collegare macchine isolate a sistemi accessibili tramite Internet.

Una minaccia continua

La continua evoluzione e le sofisticate tattiche di Lotus Panda indicano che rimane una minaccia informatica significativa. La sua capacità di adattarsi, sfruttare servizi legittimi per la furtività ed eseguire operazioni di spionaggio a lungo termine lo rendono un avversario formidabile per le organizzazioni nella regione Asia-Pacifico e oltre.

Tendenza

I più visti

Caricamento in corso...