다중 라이센스 할인 견적
위협 데이터베이스 지능형 지속 위협(APT) Sagerunex 맬웨어 변종

Sagerunex 맬웨어 변종

지능형 지속 위협(APT), 백도어년에 Mezo 년까지
번역 :
한국어

Lotus Panda로 알려진 악명 높은 위협 행위자는 필리핀, 베트남, 홍콩, 대만의 정부, 제조, 통신 및 미디어 부문에 사이버 공격을 가하는 것으로 관찰되었습니다. 이러한 공격에는 Lotus Panda가 적어도 2016년부터 활용해 온 맬웨어 변종인 Sagerunex 백도어의 업데이트된 버전이 포함됩니다. APT(Advanced Persistent Threat) 그룹은 장기 지속적 명령 셸을 사용하고 맬웨어 무기고의 새로운 변종을 개발하면서 전략을 계속 개선하고 있습니다.

사이버 스파이 분야에서 잘 알려진 이름

로터스 판다(Lotus Panda)는 빌버그(Billbug), 브론즈 엘긴(Bronze Elgin), 로터스 블로섬(Lotus Blossom), 스프링 드래곤(Spring Dragon), 스립(Thrip) 으로도 알려져 있으며, 적어도 2009년부터 활동해 온 중국의 해킹 집단으로 의심됩니다. 사이버 보안 연구원들은 2018년 6월에 처음으로 이 집단의 활동을 공개적으로 폭로하면서 이 집단을 아시아 전역에서 일어난 일련의 사이버 간첩 캠페인과 연결시켰습니다.

유명 인물의 침입 역사

2022년 후반에 보안 전문가들은 Lotus Panda가 디지털 인증 기관과 아시아 전역의 정부 및 국방 기관을 공격한 사례를 자세히 설명했습니다. 이러한 작전에는 Hannotog 및 Sagerunex와 같은 정교한 백도어를 배포하는 것이 포함되어 있어 이 그룹이 중요한 기관을 손상시킬 수 있는 능력을 강조했습니다.

불분명한 진입점, 하지만 익숙한 공격 방법

Lotus Panda가 최근의 타겟을 침해하는 데 사용한 정확한 방법은 아직 알려지지 않았습니다. 그러나 이 그룹은 워터링 홀과 스피어 피싱 공격을 사용하여 초기 접근을 시도한 적이 있습니다. 일단 침입하면 공격자는 Sagerunex 백도어를 배포하는데, 이는 Evora 로 알려진 이전 맬웨어 변종의 진화형으로 여겨집니다.

회피 전술: 합법적 서비스 활용

Lotus Panda와 관련된 최근 활동에서 Sagerunex의 두 가지 새로운 '베타' 변종이 발견되었으며, 소스 코드 내의 디버그 문자열로 식별되었습니다. 이러한 버전은 Dropbox, X(Twitter로 더 잘 알려짐), Zimbra와 같은 합법적인 서비스를 명령 및 제어(C2) 채널로 교묘하게 사용하여 탐지를 더욱 어렵게 만듭니다.

고급 백도어 기능

Sagerunex 백도어는 감염된 기기에 대한 자세한 정보를 수집하고 암호화하여 공격자가 제어하는 원격 서버로 빼내도록 설계되었습니다. Dropbox와 X 변종은 2018년에서 2022년 사이에 사용되었으며, Zimbra 버전은 2019년부터 작동했습니다.

Zimbra Webmail 변형: 은밀한 제어 허브

Sagerunex의 Zimbra 웹메일 변형은 단순한 데이터 수집을 넘어선다. 공격자는 Zimbra 메일 콘텐츠를 통해 명령을 보내 손상된 컴퓨터를 효과적으로 제어할 수 있다. 이메일에서 합법적인 명령이 감지되면 백도어가 이를 추출하여 실행한다. 그렇지 않으면 맬웨어는 이메일을 삭제하고 추가 지침을 기다린다. 실행된 명령의 결과는 RAR 아카이브로 패키징되어 사서함의 임시 보관함과 휴지통 폴더에 저장된다.

전체 무기고: 플레이에 추가 도구

로터스 판다는 Sagerunex에만 의존하지 않습니다. 이 그룹은 다음을 포함한 추가 도구를 배치합니다.

  • Chrome 브라우저 자격 증명을 수집하는 쿠키 스틸러.
  • 오픈소스 프록시 유틸리티, Venom.
  • 더 높은 시스템 액세스 권한을 얻기 위한 권한 확대 도구입니다.
  • 수집된 데이터를 압축하고 암호화하기 위한 맞춤형 소프트웨어.

네트워크 정찰 및 제한 우회

공격자는 net, tasklist, ipconfig, netstat와 같은 정찰 명령을 실행하여 대상 환경을 평가하는 것으로 관찰되었습니다. 또한, 그들은 인터넷 연결을 확인하고 네트워크 제한에 따라 접근 방식을 조정합니다. 액세스가 제한되면 다음을 시도합니다.

  • 피해자의 프록시 설정을 사용하여 연결을 설정합니다.
  • Venom 프록시 도구를 배포하여 격리된 시스템을 인터넷 접속이 가능한 시스템에 연결합니다.

지속적인 위협

로터스 판다의 지속적인 진화와 정교한 전술은 여전히 상당한 사이버 위협임을 시사합니다. 적응하고, 합법적인 서비스를 은밀하게 활용하고, 장기적인 스파이 작전을 실행하는 능력은 아시아 태평양 지역과 그 너머의 조직에 강력한 적대자가 됩니다.

트렌드

Omega Ad Blocker

잠재적으로 원하지 않는 프로그램, 애드웨어
침입적이고 신뢰할 수 없는 소프트웨어로부터 기기를 보호하는 것은 온라인 보안의 중요한 측면입니다. 유용한 도구로 광고되는 많은 프로그램에는 종종 사용자 개인 정보를 침해하고 브라우징 경험을 방해하는 숨겨진 기능이 함께 제공됩니다. Omega Ad Blocker는 그러한 예 중 하나입니다. 광고를 차단한다고 주장하지만 애드웨어와 관련된 동작을 보이는...

AMC 랜섬웨어

랜섬웨어
AMC Ransomware는 사이버 범죄자가 공격적인 공격 캠페인에 사용할 수 있는 또 다른 맬웨어 위협으로 보입니다. 컴퓨터에 성공적으로 배포되면 위협 요소는 장치에 있는 거의 모든 파일을 잠그는 광범위한 암호화 루틴을 실행합니다. 피해자는 데이터베이스, 아카이브, 문서, 이미지 등에 더 이상 액세스할 수 없음을 알게 됩니다. 침입 활동의 일부로...

Plebeianness.app

애드웨어, 맥 맬웨어, 잠재적으로 원하지 않는 프로그램
사이버 보안의 세계는 끊임없이 진화하고 있으며 Mac 사용자도 안전하지 않은 소프트웨어로 인한 위협으로부터 자유롭지 않습니다. 최근 악명을 얻은 문제 해결사 중 하나는 Plebeianness.app입니다. Plebeianness.app은 Mac 시스템에 침투하여 성가신 팝업 광고부터 잠재적인 개인 정보 침해에 이르기까지 다양한 문제를 일으키는 애드웨어...

가장 많이 본

Discord가 회색 화면에 멈춤

문제
70,876
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
63,528
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
58,545
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...