Sagerunex Malware Variants
लोटस पाण्डाको नामले चिनिने कुख्यात खतरा अभिनेताले फिलिपिन्स, भियतनाम, हङकङ र ताइवानमा सरकार, उत्पादन, दूरसञ्चार र मिडिया क्षेत्रहरूमा साइबर आक्रमणहरू सुरु गरेको देखिएको छ। यी आक्रमणहरूमा सेगेरुनेक्स ब्याकडोरको अद्यावधिक संस्करणहरू समावेश छन्, एक मालवेयर स्ट्रेन जुन लोटस पाण्डाले कम्तिमा २०१६ देखि प्रयोग गर्दै आएको छ। APT (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) समूहले आफ्नो रणनीतिहरू परिष्कृत गर्न जारी राखेको छ, दीर्घकालीन पर्सिस्टेन्ट कमाण्ड शेलहरू प्रयोग गर्दै र यसको मालवेयर शस्त्रागारको नयाँ रूपहरू विकास गर्दै।
सामग्रीको तालिका
साइबर जासुसीमा एक परिचित नाम
लोटस पाण्डा, जसलाई बिलबग, ब्रोन्ज एल्गिन, लोटस ब्लसम, स्प्रिङ ड्र्यागन र थ्रिप पनि भनिन्छ, एक संदिग्ध चिनियाँ ह्याकिङ समूह हो जुन कम्तिमा २००९ देखि सक्रिय छ। साइबर सुरक्षा अनुसन्धानकर्ताहरूले पहिलो पटक जुन २०१८ मा यसको सञ्चालन सार्वजनिक रूपमा उजागर गरेका थिए, जसले समूहलाई एशियाभरि साइबर जासूसी अभियानहरूको श्रृंखलासँग जोडेको थियो।
उच्च-प्रोफाइल घुसपैठको इतिहास
२०२२ को अन्त्यतिर, सुरक्षा विज्ञहरूले लोटस पाण्डाको डिजिटल प्रमाणपत्र प्राधिकरण, साथै एशियाभरिका सरकारी र रक्षा एजेन्सीहरूमाथिको आक्रमणको विस्तृत विवरण दिए। यी अपरेशनहरूमा ह्यानोटोग र सेगेरुनेक्स जस्ता परिष्कृत ब्याकडोरहरूको तैनाथी समावेश थियो, जसले समूहको महत्वपूर्ण संस्थाहरूलाई सम्झौता गर्ने क्षमतालाई जोड दियो।
अस्पष्ट प्रवेश बिन्दुहरू तर परिचित आक्रमण विधिहरू
लोटस पाण्डाले आफ्नो पछिल्लो लक्ष्यहरू तोड्न प्रयोग गरेको सटीक विधि अज्ञात छ। यद्यपि, समूहसँग प्रारम्भिक पहुँच प्राप्त गर्न वाटरिङ होल र भाला-फिसिङ आक्रमणहरू प्रयोग गर्ने इतिहास छ। भित्र पसेपछि, आक्रमणकारीहरूले Sagerunex ब्याकडोर प्रयोग गर्छन्, जुन इभोरा भनेर चिनिने पुरानो मालवेयर संस्करणको विकास मानिन्छ।
छलकपटका रणनीतिहरू: वैध सेवाहरूको शोषण
लोटस पाण्डासँग जोडिएको हालैको गतिविधिले Sagerunex का दुई नयाँ 'बिटा' भेरियन्टहरू प्रकट गरेको छ, जुन तिनीहरूको स्रोत कोड भित्र डिबग स्ट्रिङहरूद्वारा पहिचान गरिएको छ। यी संस्करणहरूले चलाखीपूर्वक ड्रपबक्स, X (ट्विटरको रूपमा राम्रोसँग चिनिन्छ), र जिम्ब्रा जस्ता वैध सेवाहरू कमाण्ड-एन्ड-कन्ट्रोल (C2) च्यानलहरूको रूपमा प्रयोग गर्छन्, जसले गर्दा पत्ता लगाउन अझ चुनौतीपूर्ण हुन्छ।
उन्नत ब्याकडोर क्षमताहरू
Sagerunex ब्याकडोर संक्रमित मेसिनहरूको बारेमा विस्तृत जानकारी सङ्कलन गर्न, यसलाई इन्क्रिप्ट गर्न र आक्रमणकारीहरूद्वारा नियन्त्रित रिमोट सर्भरमा एक्सफिल्टर गर्न डिजाइन गरिएको हो। ड्रपबक्स र X भेरियन्टहरू २०१८ र २०२२ बीचमा प्रयोगमा रहेको बताइएको छ, जबकि जिम्ब्रा संस्करण २०१९ देखि सञ्चालनमा छ।
जिम्ब्रा वेबमेल भेरियन्ट: एक गोप्य नियन्त्रण हब
Sagerunex को Zimbra वेबमेल संस्करण साधारण डेटा सङ्कलनभन्दा बाहिर जान्छ। यसले आक्रमणकारीहरूलाई Zimbra मेल सामग्री मार्फत आदेशहरू पठाउन सक्षम बनाउँछ, प्रभावकारी रूपमा सम्झौता गरिएका मेसिनहरूलाई नियन्त्रण गर्दछ। यदि इमेलमा वैध आदेश पत्ता लाग्यो भने, ब्याकडोरले यसलाई निकाल्छ र कार्यान्वयन गर्छ। अन्यथा, मालवेयरले इमेल मेटाउँछ र थप निर्देशनहरूको लागि पर्खन्छ। कार्यान्वयन गरिएका आदेशहरूको नतिजाहरू RAR अभिलेखको रूपमा प्याकेज गरिन्छ र मेलबक्सको ड्राफ्ट र रद्दीटोकरी फोल्डरहरूमा भण्डारण गरिन्छ।
पूर्ण शस्त्रागार: खेलमा थप उपकरणहरू
लोटस पाण्डा केवल सेगेरुनेक्समा मात्र भर पर्दैन। समूहले थप उपकरणहरू तैनाथ गर्दछ, जसमा समावेश छन्:
- क्रोम ब्राउजरका प्रमाणहरू सङ्कलन गर्न कुकी चोर्ने व्यक्ति।
- भेनम, एक खुला स्रोत प्रोक्सी उपयोगिता।
- उच्च प्रणाली पहुँच प्राप्त गर्नको लागि विशेषाधिकार वृद्धि उपकरण।
- सङ्कलन गरिएको डेटा कम्प्रेस र इन्क्रिप्ट गर्नको लागि अनुकूलन सफ्टवेयर।
नेटवर्क अनुसन्धान र बाइपास प्रतिबन्धहरू
आक्रमणकारीहरूले लक्षित वातावरणको मूल्याङ्कन गर्न नेट, टास्कलिस्ट, आइपकन्फिग र नेटस्ट्याट जस्ता जासूसी आदेशहरू चलाएको पाइएको छ। थप रूपमा, तिनीहरूले इन्टरनेट जडानको जाँच गर्छन्, नेटवर्क प्रतिबन्धहरूको आधारमा आफ्नो दृष्टिकोण समायोजन गर्छन्। यदि पहुँच सीमित छ भने, तिनीहरूले निम्न प्रयास गर्छन्:
- जडान स्थापित गर्न पीडितको प्रोक्सी सेटिङहरू प्रयोग गर्नुहोस्।
- पृथक मेसिनहरूलाई इन्टरनेट-पहुँचयोग्य प्रणालीहरूमा लिङ्क गर्न भेनम प्रोक्सी उपकरण प्रयोग गर्नुहोस्।
निरन्तर खतरा
लोटस पाण्डाको निरन्तर विकास र परिष्कृत रणनीतिहरूले यो अझै पनि एक महत्वपूर्ण साइबर खतरा रहेको संकेत गर्दछ। अनुकूलन गर्ने, चोरीको लागि वैध सेवाहरूको लाभ उठाउने र दीर्घकालीन जासुसी कार्यहरू कार्यान्वयन गर्ने यसको क्षमताले यसलाई एशिया-प्रशान्त क्षेत्र र बाहिरका संस्थाहरूको लागि एक शक्तिशाली विरोधी बनाउँछ।
