„Sagerunex“ kenkėjiškų programų variantai
Liūdnai pagarsėjęs grėsmių veikėjas, žinomas kaip „Lotus Panda“, buvo pastebėtas surengęs kibernetines atakas vyriausybės, gamybos, telekomunikacijų ir žiniasklaidos sektoriuose Filipinuose, Vietname, Honkonge ir Taivane. Šios atakos apima atnaujintas „Sagerunex Backdoor“ versijas – kenkėjiškų programų atmainą, kurią „Lotus Panda“ naudoja mažiausiai nuo 2016 m. APT (Advanced Persistent Threat) grupė toliau tobulina savo taktiką, naudodama ilgalaikius nuolatinius komandų apvalkalus ir kurdama naujus kenkėjiškų programų arsenalo variantus.
Turinys
Kibernetinio šnipinėjimo srityje gerai žinomas vardas
„Lotus Panda“, taip pat žinomas kaip „Billbug“, „Bronze Elgin“, „Lotus Blossom“, „Spring Dragon“ ir „Thrip“ , yra įtariamas Kinijos įsilaužimo kolektyvas, kuris aktyviai veikia mažiausiai nuo 2009 m. Kibernetinio saugumo tyrinėtojai pirmą kartą viešai paskelbė apie savo veiklą 2018 m. birželio mėn., susiedami grupę su kibernetinio šnipinėjimo kampanijomis visoje Azijoje.
Aukšto lygio įsibrovimų istorija
2022 m. pabaigoje saugumo ekspertai išsamiai apibūdino „Lotus Panda“ ataką prieš skaitmeninių sertifikatų instituciją, taip pat vyriausybę ir gynybos agentūras visoje Azijoje. Šios operacijos apėmė sudėtingų užpakalinių durų, tokių kaip Hannotog ir Sagerunex, diegimą, pabrėždami grupės gebėjimą pažeisti svarbias institucijas.
Neaiškūs įėjimo taškai, bet pažįstami puolimo metodai
Tikslus metodas, kurį Lotus Panda naudojo siekdamas savo naujausių tikslų, lieka nežinomas. Tačiau grupė, siekdama gauti pradinę prieigą, anksčiau naudojo vandens telkinius ir sukčiavimo spear-phishing atakas. Patekę į vidų, užpuolikai įdiegia „Sagerunex“ užpakalines duris, kurios, kaip manoma, yra senesnės kenkėjiškos programos, žinomos kaip „Evora“ , evoliucija.
Vengimo taktika: teisėtų paslaugų išnaudojimas
Naujausia veikla, susijusi su Lotus Panda, atskleidė du naujus Sagerunex „beta“ variantus, identifikuojamus pagal derinimo eilutes jų šaltinio kode. Šios versijos sumaniai naudoja teisėtas paslaugas, tokias kaip „Dropbox“, „X“ (geriau žinomas kaip „Twitter“) ir „Zimbra“ kaip „Command-and-Control“ (C2) kanalus, todėl aptikimas tampa sudėtingesnis.
Išplėstinės galinių durų galimybės
„Sagerunex“ užpakalinės durys yra skirtos rinkti išsamią informaciją apie užkrėstus įrenginius, ją užšifruoti ir perduoti į nuotolinį užpuolikų valdomą serverį. Pranešama, kad „Dropbox“ ir „X“ variantai buvo naudojami 2018–2022 m., o „Zimbra“ versija – nuo 2019 m.
Zimbra žiniatinklio pašto variantas: slaptas valdymo centras
„Sagerunex“ žiniatinklio pašto „Zimbra“ variantas yra ne tik paprastas duomenų rinkimas. Tai leidžia užpuolikams siųsti komandas per Zimbra pašto turinį ir veiksmingai valdyti pažeistas mašinas. Jei el. laiške aptinkama teisėta komanda, užpakalinės durys ją ištraukia ir vykdo. Kitu atveju kenkėjiška programa ištrina el. laišką ir laukia tolesnių nurodymų. Vykdytų komandų rezultatai supakuojami kaip RAR archyvai ir saugomi pašto dėžutės juodraščių ir šiukšliadėžės aplankuose.
Visas arsenalas: papildomi žaidimo įrankiai
„Lotus Panda“ nepasikliauja tik „Sagerunex“. Grupė diegia papildomus įrankius, įskaitant:
- Slapukų vagis, skirtas „Chrome“ naršyklės kredencialams surinkti.
- „Venom“, atvirojo kodo tarpinio serverio programa.
- Privilegijų eskalavimo įrankis, leidžiantis gauti didesnę prieigą prie sistemos.
- Pasirinktinė programinė įranga surinktiems duomenims suspausti ir šifruoti.
Tinklo žvalgybos ir apėjimo apribojimai
Buvo pastebėta, kad užpuolikai vykdo žvalgybos komandas, tokias kaip „net“, „tasklist“, „ipconfig“ ir „netstat“, kad įvertintų tikslinę aplinką. Be to, jie tikrina interneto ryšį, koreguodami savo požiūrį pagal tinklo apribojimus. Jei prieiga apribota, jie bando:
- Norėdami užmegzti ryšį, naudokite aukos tarpinio serverio nustatymus.
- Įdiekite „Venom“ tarpinio serverio įrankį, kad susietumėte izoliuotas mašinas su sistemomis, pasiekiamomis internetu.
Nuolatinė grėsmė
Nuolatinė „Lotus Panda“ evoliucija ir sudėtinga taktika rodo, kad ji tebėra didelė kibernetinė grėsmė. Jos gebėjimas prisitaikyti, panaudoti teisėtas paslaugoms slaptas paslaugas ir vykdyti ilgalaikes šnipinėjimo operacijas daro jį didžiuliu priešu organizacijoms Azijos ir Ramiojo vandenyno regione ir už jo ribų.
