Sagerunex Malware-varianter
Den beryktede trusselaktøren kjent som Lotus Panda har blitt observert i gang med cyberangrep mot myndigheter, produksjon, telekommunikasjon og mediesektorer på Filippinene, Vietnam, Hong Kong og Taiwan. Disse angrepene involverer oppdaterte versjoner av Sagerunex -bakdøren, en malware-stamme som Lotus Panda har utnyttet siden minst 2016. APT (Advanced Persistent Threat)-gruppen fortsetter å avgrense taktikken sin, bruker langsiktige, vedvarende kommandoskaller og utvikler nye varianter av skadevarearsenalet sitt.
Innholdsfortegnelse
Et velkjent navn innen nettspionasje
Lotus Panda, også kjent som Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon og Thrip , er et mistenkt kinesisk hacking-kollektiv som har vært aktivt siden minst 2009. Cybersikkerhetsforskere avslørte først virksomheten offentlig i juni 2018, og koblet gruppen til en rekke cyber-spionasjekampanjer på tvers av Asia.
En historie med høyprofilerte inntrengninger
På slutten av 2022 beskrev sikkerhetseksperter Lotus Pandas angrep på en digital sertifikatmyndighet, samt myndigheter og forsvarsbyråer over hele Asia. Disse operasjonene innebar utplassering av sofistikerte bakdører som Hannotog og Sagerunex, noe som understreker gruppens evne til å kompromittere kritiske institusjoner.
Uklare inngangspunkter, men kjente angrepsmetoder
Den nøyaktige metoden brukt av Lotus Panda for å bryte sine siste mål er fortsatt ukjent. Imidlertid har gruppen en historie med å bruke vannhull og spyd-phishing-angrep for å få første tilgang. Vel inne, distribuerer angriperne Sagerunex-bakdøren, som antas å være en utvikling av en eldre malware-variant kjent som Evora .
Unnvikende taktikk: Utnyttelse av legitime tjenester
Nylig aktivitet knyttet til Lotus Panda har avslørt to nye 'beta'-varianter av Sagerunex, identifisert av feilsøkingsstrenger i kildekoden. Disse versjonene bruker smarte tjenester som Dropbox, X (bedre kjent som Twitter) og Zimbra som Command-and-Control (C2)-kanaler, noe som gjør gjenkjenning mer utfordrende.
Avanserte bakdørsfunksjoner
Sagerunex-bakdøren er designet for å samle inn detaljert informasjon om infiserte maskiner, kryptere den og eksfiltrere den til en ekstern server kontrollert av angriperne. Dropbox- og X-variantene var angivelig i bruk mellom 2018 og 2022, mens Zimbra-versjonen har vært i drift siden 2019.
Zimbra Webmail Variant: A Covert Control Hub
Zimbra webmail-varianten av Sagerunex går utover enkel datainnsamling. Den gjør det mulig for angripere å sende kommandoer via Zimbra-e-postinnhold, og effektivt kontrollere kompromitterte maskiner. Hvis en legitim kommando oppdages i en e-post, trekker bakdøren ut og utfører den. Ellers sletter skadelig programvare e-posten og venter på ytterligere instruksjoner. Resultatene av utførte kommandoer pakkes som RAR-arkiver og lagres i postkassens utkast- og søppelmapper.
A Full Arsenal: Ytterligere verktøy i spill
Lotus Panda er ikke bare avhengig av Sagerunex. Gruppen distribuerer tilleggsverktøy, inkludert:
- En informasjonskapselstyver for å hente inn Chrome-nettleserlegitimasjonen.
- Venom, et åpen kildekode proxy-verktøy.
- Et privilegieeskaleringsverktøy for å få høyere systemtilgang.
- Tilpasset programvare for komprimering og kryptering av innsamlede data.
Nettverksrekognosering og omgåelse av begrensninger
Angriperne har blitt observert kjører rekognoseringskommandoer som net, tasklist, ipconfig og netstat for å vurdere målmiljøet. I tillegg sjekker de for Internett-tilkobling, og justerer tilnærmingen basert på nettverksbegrensninger. Hvis tilgangen er begrenset, prøver de å:
- Bruk offerets proxy-innstillinger for å opprette en tilkobling.
- Distribuer Venom proxy-verktøyet for å koble isolerte maskiner til internett-tilgjengelige systemer.
En pågående trussel
Lotus Pandas fortsatte utvikling og sofistikerte taktikk indikerer at det fortsatt er en betydelig cybertrussel. Dens evne til å tilpasse seg, utnytte legitime tjenester for stealth og utføre langsiktige spionasjeoperasjoner gjør den til en formidabel motstander for organisasjoner i Asia-Stillehavsregionen og utover.
