Sagerunex ļaunprātīgas programmatūras varianti
Bēdīgi slavenais draudu aktieris, kas pazīstams kā Lotus Panda, ir novērots, veicot kiberuzbrukumus valdības, ražošanas, telekomunikāciju un mediju nozarēm Filipīnās, Vjetnamā, Honkongā un Taivānā. Šie uzbrukumi ietver atjauninātas Sagerunex backdoor versijas — ļaunprogrammatūras celmu, ko Lotus Panda izmanto vismaz kopš 2016. gada. Grupa APT (Advanced Persistent Threat) turpina pilnveidot savu taktiku, izmantojot ilgtermiņa noturīgus komandu apvalkus un izstrādājot jaunus ļaunprogrammatūras arsenāla variantus.
Satura rādītājs
Plaši pazīstams vārds kiberspiegošanā
Lotus Panda, kas pazīstams arī kā Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon un Thrip , ir aizdomas par ķīniešu hakeru kolektīvu, kas ir aktīvs vismaz kopš 2009. gada. Kiberdrošības pētnieki pirmo reizi publiski atklāja savas darbības 2018. gada jūnijā, saistot grupu ar vairākām kiberspiegošanas kampaņām visā Āzijā.
Augsta līmeņa ielaušanās vēsture
2022. gada beigās drošības eksperti detalizēti izklāstīja Lotus Panda uzbrukumu digitālo sertifikātu iestādei, kā arī valdības un aizsardzības aģentūrām visā Āzijā. Šīs operācijas ietvēra sarežģītu aizmugures durvju, piemēram, Hannotog un Sagerunex, izvietošanu, uzsverot grupas spēju apdraudēt kritiskās institūcijas.
Neskaidri ieejas punkti, bet pazīstamas uzbrukuma metodes
Precīza metode, ko Lotus Panda izmantoja, lai pārkāptu savus jaunākos mērķus, joprojām nav zināma. Tomēr grupai ir bijusi pieredze, lai iegūtu sākotnējo piekļuvi, izmantojot ūdenstilpnes un pikšķerēšanas uzbrukumus. Nokļūstot iekšā, uzbrucēji izvieto Sagerunex aizmugures durvis, kas, domājams, ir vecākas ļaunprātīgas programmatūras varianta, kas pazīstams kā Evora , evolūcija.
Izvairīšanās taktika: likumīgu pakalpojumu izmantošana
Nesenā darbība, kas saistīta ar Lotus Panda, ir atklājusi divus jaunus Sagerunex “beta” variantus, kas identificēti pēc atkļūdošanas virknēm to pirmkodā. Šīs versijas gudri izmanto likumīgus pakalpojumus, piemēram, Dropbox, X (labāk pazīstams kā Twitter) un Zimbra kā Command-and-Control (C2) kanālus, padarot noteikšanu grūtāku.
Uzlabotas aizmugures durvju iespējas
Sagerunex aizmugures durvis ir paredzētas, lai savāktu detalizētu informāciju par inficētajām mašīnām, šifrētu to un izfiltrētu uz attālo serveri, kuru kontrolē uzbrucēji. Tiek ziņots, ka Dropbox un X varianti tika izmantoti no 2018. līdz 2022. gadam, savukārt Zimbra versija darbojas kopš 2019. gada.
Zimbra tīmekļa pasta variants: slēpts vadības centrs
Sagerunex Zimbra tīmekļa pasta variants pārsniedz vienkāršu datu apkopošanu. Tas ļauj uzbrucējiem nosūtīt komandas, izmantojot Zimbra pasta saturu, efektīvi kontrolējot apdraudētas iekārtas. Ja e-pastā tiek atklāta likumīga komanda, aizmugures durvis to izņem un izpilda. Pretējā gadījumā ļaunprogrammatūra izdzēš e-pastu un gaida turpmākus norādījumus. Izpildīto komandu rezultāti tiek iesaiņoti kā RAR arhīvi un saglabāti pastkastes melnrakstu un miskastes mapēs.
Pilns arsenāls: papildu rīki spēlē
Lotus Panda nepaļaujas tikai uz Sagerunex. Grupa izvieto papildu rīkus, tostarp:
- Sīkfailu zaglis pārlūka Chrome akreditācijas datu iegūšanai.
- Venom, atvērtā koda starpniekservera utilīta.
- Privilēģiju eskalācijas rīks, lai iegūtu lielāku piekļuvi sistēmai.
- Pielāgota programmatūra savākto datu saspiešanai un šifrēšanai.
Tīkla izlūkošanas un apiešanas ierobežojumi
Tika novērots, ka uzbrucēji izpilda izlūkošanas komandas, piemēram, net, tasklist, ipconfig un netstat, lai novērtētu mērķa vidi. Turklāt viņi pārbauda interneta savienojumu, pielāgojot savu pieeju, pamatojoties uz tīkla ierobežojumiem. Ja piekļuve ir ierobežota, viņi mēģina:
- Izmantojiet cietušā starpniekservera iestatījumus, lai izveidotu savienojumu.
- Izvietojiet Venom starpniekservera rīku, lai saistītu izolētas mašīnas ar internetam pieejamām sistēmām.
Pastāvīgi draudi
Lotus Panda nepārtrauktā attīstība un izsmalcinātā taktika liecina, ka tas joprojām ir nozīmīgs kiberdrauds. Tā spēja pielāgoties, izmantot likumīgus pakalpojumus slepeniem nolūkiem un veikt ilgstošas spiegošanas operācijas padara to par milzīgu pretinieku organizācijām Āzijas un Klusā okeāna reģionā un ārpus tās.
