Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Varian Perisian Hasad Sagerunex

Varian Perisian Hasad Sagerunex

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), Pintu belakang
Terjemahkan ke
بهاس ملايو

Aktor ancaman terkenal yang dikenali sebagai Lotus Panda telah diperhatikan melancarkan serangan siber ke atas sektor kerajaan, pembuatan, telekomunikasi dan media di Filipina, Vietnam, Hong Kong dan Taiwan. Serangan ini melibatkan versi terkini pintu belakang Sagerunex , jenis perisian hasad yang telah dimanfaatkan oleh Lotus Panda sejak sekurang-kurangnya 2016. Kumpulan APT (Advanced Persistent Threat) terus memperhalusi taktiknya, menggunakan cengkerang perintah berterusan jangka panjang dan membangunkan varian baharu senjata perisian hasadnya.

Nama Terkenal dalam Pengintipan Siber

The Lotus Panda, juga dikenali sebagai Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon, dan Thrip , ialah kumpulan penggodaman Cina yang disyaki telah aktif sejak sekurang-kurangnya 2009. Penyelidik keselamatan siber mula mendedahkan operasinya secara terbuka pada Jun 2018, menghubungkan kumpulan itu dengan siri kempen pengintipan siber di seluruh Asia.

Sejarah Pencerobohan Berprofil Tinggi

Pada penghujung 2022, pakar keselamatan memperincikan serangan Lotus Panda terhadap pihak berkuasa sijil digital, serta agensi kerajaan dan pertahanan di seluruh Asia. Operasi ini melibatkan penempatan pintu belakang yang canggih seperti Hannotog dan Sagerunex, yang menekankan keupayaan kumpulan untuk menjejaskan institusi kritikal.

Mata Masuk Tidak Jelas tetapi Kaedah Serangan Biasa

Kaedah tepat yang digunakan oleh Lotus Panda untuk melanggar sasaran terbaharunya masih tidak diketahui. Walau bagaimanapun, kumpulan itu mempunyai sejarah menggunakan lubang berair dan serangan pancingan lembing untuk mendapatkan akses awal. Sebaik sahaja di dalam, penyerang menggunakan pintu belakang Sagerunex, yang dipercayai sebagai evolusi varian perisian hasad lama yang dikenali sebagai Evora .

Taktik Mengelak: Memanfaatkan Perkhidmatan Sah

Aktiviti terbaru yang dikaitkan dengan Lotus Panda telah mendedahkan dua varian 'beta' baharu Sagerunex, yang dikenal pasti melalui rentetan nyahpepijat dalam kod sumbernya. Versi ini bijak menggunakan perkhidmatan yang sah seperti Dropbox, X (lebih dikenali sebagai Twitter) dan Zimbra sebagai saluran Command-and-Control (C2), menjadikan pengesanan lebih mencabar.

Keupayaan Pintu Belakang Lanjutan

Pintu belakang Sagerunex direka untuk mengumpul maklumat terperinci tentang mesin yang dijangkiti, menyulitkannya, dan mengeluarkannya ke pelayan jauh yang dikawal oleh penyerang. Varian Dropbox dan X dilaporkan telah digunakan antara 2018 dan 2022, manakala versi Zimbra telah beroperasi sejak 2019.

Varian Zimbra Webmail: Hab Kawalan Tersembunyi

Varian mel web Zimbra Sagerunex melangkaui pengumpulan data mudah. Ia membolehkan penyerang menghantar arahan melalui kandungan mel Zimbra, dengan berkesan mengawal mesin yang terjejas. Jika perintah yang sah dikesan dalam e-mel, pintu belakang mengekstrak dan melaksanakannya. Jika tidak, perisian hasad memadamkan e-mel dan menunggu arahan selanjutnya. Hasil daripada arahan yang dilaksanakan dibungkus sebagai arkib RAR dan disimpan dalam draf peti mel dan folder sampah.

Arsenal Penuh: Alat Tambahan dalam Permainan

The Lotus Panda tidak hanya bergantung pada Sagerunex. Kumpulan itu menggunakan alat tambahan, termasuk:

  • Pencuri kuki untuk mendapatkan bukti kelayakan penyemak imbas Chrome.
  • Venom, utiliti proksi sumber terbuka.
  • Alat peningkatan keistimewaan untuk mendapatkan akses sistem yang lebih tinggi.
  • Perisian tersuai untuk memampatkan dan menyulitkan data yang dikumpul.

Tinjauan Rangkaian dan Sekatan Memintas

Penyerang telah diperhatikan menjalankan perintah peninjauan seperti net, tasklist, ipconfig, dan netstat untuk menilai persekitaran sasaran. Selain itu, mereka menyemak sambungan Internet, melaraskan pendekatan mereka berdasarkan sekatan rangkaian. Jika akses terhad, mereka cuba:

  • Gunakan tetapan proksi mangsa untuk mewujudkan sambungan.
  • Gunakan alat proksi Venom untuk memautkan mesin terpencil ke sistem yang boleh diakses Internet.

Ancaman Berterusan

Evolusi berterusan Lotus Panda dan taktik canggih menunjukkan bahawa ia kekal sebagai ancaman siber yang ketara. Keupayaannya untuk menyesuaikan diri, memanfaatkan perkhidmatan yang sah untuk sembunyi-sembunyi, dan melaksanakan operasi pengintipan jangka panjang menjadikannya musuh yang hebat bagi organisasi di rantau Asia-Pasifik dan seterusnya.

Trending

Paling banyak dilihat

Memuatkan...