Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) Sagerunex Malware-varianten

Sagerunex Malware-varianten

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes
Vertalen naar:
Nederlands

De beruchte dreigingsactor Lotus Panda is waargenomen bij het uitvoeren van cyberaanvallen op de overheid, productie, telecommunicatie en mediasectoren in de Filipijnen, Vietnam, Hong Kong en Taiwan. Deze aanvallen omvatten bijgewerkte versies van de Sagerunex- backdoor, een malwarestam die Lotus Panda al sinds ten minste 2016 gebruikt. De APT-groep (Advanced Persistent Threat) blijft zijn tactieken verfijnen, door langdurige persistente commando-shells te gebruiken en nieuwe varianten van zijn malware-arsenaal te ontwikkelen.

Een bekende naam in cyberspionage

Lotus Panda, ook bekend als Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon en Thrip , is een vermoedelijk Chinees hackerscollectief dat al sinds 2009 actief is. Cybersecurityonderzoekers maakten de activiteiten van de groep voor het eerst openbaar in juni 2018, waarbij ze de groep in verband brachten met een reeks cyberespionagecampagnes in Azië.

Een geschiedenis van opvallende inbraken

Eind 2022 hebben beveiligingsexperts de aanval van Lotus Panda op een digitale certificeringsinstantie en overheids- en defensie-instanties in Azië gedetailleerd beschreven. Deze operaties omvatten de inzet van geavanceerde backdoors zoals Hannotog en Sagerunex, wat het vermogen van de groep om kritieke instellingen te compromitteren, onderstreept.

Onduidelijke toegangspunten, maar bekende aanvalsmethoden

De precieze methode die Lotus Panda gebruikte om zijn nieuwste doelwitten te doorbreken, is nog onbekend. De groep heeft echter een geschiedenis van het gebruiken van watering hole- en spear-phishing-aanvallen om eerste toegang te krijgen. Eenmaal binnen, zetten de aanvallers de Sagerunex-backdoor in, waarvan wordt aangenomen dat het een evolutie is van een oudere malwarevariant die bekendstaat als Evora .

Ontwijkende tactieken: misbruik maken van legitieme diensten

Recente activiteit in verband met de Lotus Panda heeft twee nieuwe 'bèta'-varianten van Sagerunex onthuld, geïdentificeerd door debugstrings in hun broncode. Deze versies gebruiken op slimme wijze legitieme services zoals Dropbox, X (beter bekend als Twitter) en Zimbra als Command-and-Control (C2)-kanalen, waardoor detectie een grotere uitdaging vormt.

Geavanceerde backdoor-mogelijkheden

De Sagerunex-backdoor is ontworpen om gedetailleerde informatie over geïnfecteerde machines te verzamelen, deze te versleutelen en te exfiltreren naar een externe server die door de aanvallers wordt beheerd. De Dropbox- en X-varianten werden naar verluidt gebruikt tussen 2018 en 2022, terwijl de Zimbra-versie operationeel is sinds 2019.

Zimbra Webmail-variant: een verborgen controlehub

De Zimbra webmailvariant van Sagerunex gaat verder dan alleen het verzamelen van gegevens. Het stelt aanvallers in staat om opdrachten te versturen via Zimbra mailinhoud, en zo effectief gecompromitteerde machines te controleren. Als een legitieme opdracht wordt gedetecteerd in een e-mail, extraheert de backdoor deze en voert deze uit. Anders verwijdert de malware de e-mail en wacht op verdere instructies. De resultaten van uitgevoerde opdrachten worden verpakt als RAR-archieven en opgeslagen in de map concepten en prullenbak van de mailbox.

Een volledig arsenaal: extra hulpmiddelen in het spel

De Lotus Panda vertrouwt niet alleen op Sagerunex. De groep zet extra tools in, waaronder:

  • Een cookie-dief om inloggegevens van de Chrome-browser te verzamelen.
  • Venom, een open-source proxy-hulpprogramma.
  • Een hulpmiddel voor het verhogen van bevoegdheden om hogere systeemtoegang te verkrijgen.
  • Aangepaste software voor het comprimeren en versleutelen van verzamelde gegevens.

Netwerkverkenning en omzeilen van beperkingen

De aanvallers zijn waargenomen terwijl ze verkenningsopdrachten uitvoerden zoals net, tasklist, ipconfig en netstat om de doelomgeving te beoordelen. Daarnaast controleren ze op internetconnectiviteit en passen hun aanpak aan op basis van netwerkbeperkingen. Als de toegang beperkt is, proberen ze het volgende:

  • Gebruik de proxy-instellingen van het slachtoffer om een verbinding tot stand te brengen.
  • Gebruik de Venom-proxytool om geïsoleerde machines te koppelen aan systemen die toegankelijk zijn via internet.

Een voortdurende bedreiging

De voortdurende evolutie en geavanceerde tactieken van Lotus Panda geven aan dat het een significante cyberdreiging blijft. Het vermogen om zich aan te passen, legitieme services te gebruiken voor stealth en langetermijnspionageoperaties uit te voeren, maken het een geduchte tegenstander voor organisaties in de regio Azië-Pacific en daarbuiten.

Trending

Meest bekeken

Bezig met laden...