Sagerunex Malware Variants
ਲੋਟਸ ਪਾਂਡਾ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਬਦਨਾਮ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਨੂੰ ਫਿਲੀਪੀਨਜ਼, ਵੀਅਤਨਾਮ, ਹਾਂਗ ਕਾਂਗ ਅਤੇ ਤਾਈਵਾਨ ਵਿੱਚ ਸਰਕਾਰ, ਨਿਰਮਾਣ, ਦੂਰਸੰਚਾਰ ਅਤੇ ਮੀਡੀਆ ਖੇਤਰਾਂ 'ਤੇ ਸਾਈਬਰ ਹਮਲੇ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਸੇਗੇਰੂਨੇਕਸ ਬੈਕਡੋਰ ਦੇ ਅੱਪਡੇਟ ਕੀਤੇ ਸੰਸਕਰਣ ਸ਼ਾਮਲ ਹਨ, ਇੱਕ ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ ਜਿਸਦਾ ਲੋਟਸ ਪਾਂਡਾ ਘੱਟੋ-ਘੱਟ 2016 ਤੋਂ ਲਾਭ ਉਠਾ ਰਿਹਾ ਹੈ। ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ) ਸਮੂਹ ਆਪਣੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਸੁਧਾਰਦਾ ਰਹਿੰਦਾ ਹੈ, ਲੰਬੇ ਸਮੇਂ ਦੇ ਨਿਰੰਤਰ ਕਮਾਂਡ ਸ਼ੈੱਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਅਤੇ ਆਪਣੇ ਮਾਲਵੇਅਰ ਹਥਿਆਰਾਂ ਦੇ ਨਵੇਂ ਰੂਪਾਂ ਨੂੰ ਵਿਕਸਤ ਕਰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਾਈਬਰ ਜਾਸੂਸੀ ਵਿੱਚ ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਨਾਮ
ਲੋਟਸ ਪਾਂਡਾ, ਜਿਸਨੂੰ ਬਿਲਬੱਗ, ਕਾਂਸੀ ਐਲਗਿਨ, ਲੋਟਸ ਬਲੌਸਮ, ਸਪਰਿੰਗ ਡਰੈਗਨ ਅਤੇ ਥ੍ਰਿਪ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਸ਼ੱਕੀ ਚੀਨੀ ਹੈਕਿੰਗ ਸਮੂਹ ਹੈ ਜੋ ਘੱਟੋ-ਘੱਟ 2009 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਹਿਲੀ ਵਾਰ ਜੂਨ 2018 ਵਿੱਚ ਇਸਦੇ ਕਾਰਜਾਂ ਦਾ ਜਨਤਕ ਤੌਰ 'ਤੇ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਸੀ, ਜਿਸ ਨਾਲ ਸਮੂਹ ਨੂੰ ਏਸ਼ੀਆ ਭਰ ਵਿੱਚ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮਾਂ ਦੀ ਇੱਕ ਲੜੀ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਸੀ।
ਹਾਈ-ਪ੍ਰੋਫਾਈਲ ਘੁਸਪੈਠ ਦਾ ਇਤਿਹਾਸ
2022 ਦੇ ਅਖੀਰ ਵਿੱਚ, ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਲੋਟਸ ਪਾਂਡਾ ਦੇ ਡਿਜੀਟਲ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ, ਅਤੇ ਨਾਲ ਹੀ ਏਸ਼ੀਆ ਭਰ ਵਿੱਚ ਸਰਕਾਰੀ ਅਤੇ ਰੱਖਿਆ ਏਜੰਸੀਆਂ 'ਤੇ ਹਮਲੇ ਦਾ ਵੇਰਵਾ ਦਿੱਤਾ। ਇਹਨਾਂ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਹੈਨੋਟੋਗ ਅਤੇ ਸੇਗੇਰੂਨੇਕਸ ਵਰਗੇ ਸੂਝਵਾਨ ਬੈਕਡੋਰਾਂ ਦੀ ਤਾਇਨਾਤੀ ਸ਼ਾਮਲ ਸੀ, ਜੋ ਕਿ ਸਮੂਹ ਦੀ ਮਹੱਤਵਪੂਰਨ ਸੰਸਥਾਵਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਯੋਗਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਸੀ।
ਅਸਪਸ਼ਟ ਪ੍ਰਵੇਸ਼ ਬਿੰਦੂ ਪਰ ਜਾਣੇ-ਪਛਾਣੇ ਹਮਲੇ ਦੇ ਤਰੀਕੇ
ਲੋਟਸ ਪਾਂਡਾ ਦੁਆਰਾ ਆਪਣੇ ਨਵੀਨਤਮ ਟੀਚਿਆਂ ਨੂੰ ਤੋੜਨ ਲਈ ਵਰਤੀ ਗਈ ਸਹੀ ਵਿਧੀ ਅਣਜਾਣ ਹੈ। ਹਾਲਾਂਕਿ, ਸਮੂਹ ਦਾ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਾਟਰਿੰਗ ਹੋਲ ਅਤੇ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦਾ ਇਤਿਹਾਸ ਰਿਹਾ ਹੈ। ਇੱਕ ਵਾਰ ਅੰਦਰ ਜਾਣ 'ਤੇ, ਹਮਲਾਵਰ ਸੇਗੇਰੂਨੇਕਸ ਬੈਕਡੋਰ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ, ਜਿਸਨੂੰ ਈਵੋਰਾ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਪੁਰਾਣੇ ਮਾਲਵੇਅਰ ਰੂਪ ਦਾ ਵਿਕਾਸ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।
ਟਾਲ-ਮਟੋਲ ਦੀਆਂ ਚਾਲਾਂ: ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ
ਲੋਟਸ ਪਾਂਡਾ ਨਾਲ ਜੁੜੀ ਹਾਲੀਆ ਗਤੀਵਿਧੀ ਨੇ ਸੇਜਰੂਨੈਕਸ ਦੇ ਦੋ ਨਵੇਂ 'ਬੀਟਾ' ਰੂਪਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਦੀ ਪਛਾਣ ਉਨ੍ਹਾਂ ਦੇ ਸਰੋਤ ਕੋਡ ਦੇ ਅੰਦਰ ਡੀਬੱਗ ਸਟ੍ਰਿੰਗਾਂ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਸੰਸਕਰਣ ਚਲਾਕੀ ਨਾਲ ਡ੍ਰੌਪਬਾਕਸ, ਐਕਸ (ਟਵਿੱਟਰ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਹਨ), ਅਤੇ ਜ਼ਿਮਬਰਾ ਵਰਗੀਆਂ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਚੈਨਲਾਂ ਵਜੋਂ ਵਰਤਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਖੋਜ ਨੂੰ ਹੋਰ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।
ਉੱਨਤ ਬੈਕਡੋਰ ਸਮਰੱਥਾਵਾਂ
ਸੇਜਰੂਨੈਕਸ ਬੈਕਡੋਰ ਨੂੰ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨਾਂ ਬਾਰੇ ਵਿਸਤ੍ਰਿਤ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ, ਇਸਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਰਿਮੋਟ ਸਰਵਰ ਤੇ ਐਕਸਫਿਲਟ੍ਰੇਟ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਡ੍ਰੌਪਬਾਕਸ ਅਤੇ ਐਕਸ ਵੇਰੀਐਂਟ ਕਥਿਤ ਤੌਰ 'ਤੇ 2018 ਅਤੇ 2022 ਦੇ ਵਿਚਕਾਰ ਵਰਤੋਂ ਵਿੱਚ ਸਨ, ਜਦੋਂ ਕਿ ਜ਼ਿਮਬਰਾ ਸੰਸਕਰਣ 2019 ਤੋਂ ਕਾਰਜਸ਼ੀਲ ਹੈ।
ਜ਼ਿਮਬਰਾ ਵੈੱਬਮੇਲ ਵੇਰੀਐਂਟ: ਇੱਕ ਗੁਪਤ ਕੰਟਰੋਲ ਹੱਬ
Sagerunex ਦਾ Zimbra ਵੈੱਬਮੇਲ ਰੂਪ ਸਧਾਰਨ ਡੇਟਾ ਸੰਗ੍ਰਹਿ ਤੋਂ ਪਰੇ ਹੈ। ਇਹ ਹਮਲਾਵਰਾਂ ਨੂੰ Zimbra ਮੇਲ ਸਮੱਗਰੀ ਰਾਹੀਂ ਕਮਾਂਡਾਂ ਭੇਜਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਮਸ਼ੀਨਾਂ ਨੂੰ ਕੰਟਰੋਲ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਕਿਸੇ ਈਮੇਲ ਵਿੱਚ ਇੱਕ ਜਾਇਜ਼ ਕਮਾਂਡ ਦਾ ਪਤਾ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਬੈਕਡੋਰ ਇਸਨੂੰ ਕੱਢਦਾ ਹੈ ਅਤੇ ਚਲਾਉਂਦਾ ਹੈ। ਨਹੀਂ ਤਾਂ, ਮਾਲਵੇਅਰ ਈਮੇਲ ਨੂੰ ਮਿਟਾ ਦਿੰਦਾ ਹੈ ਅਤੇ ਹੋਰ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਕਰਦਾ ਹੈ। ਚਲਾਏ ਗਏ ਕਮਾਂਡਾਂ ਦੇ ਨਤੀਜੇ RAR ਪੁਰਾਲੇਖਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਪੈਕ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਅਤੇ ਮੇਲਬਾਕਸ ਦੇ ਡਰਾਫਟ ਅਤੇ ਰੱਦੀ ਫੋਲਡਰਾਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
ਇੱਕ ਪੂਰਾ ਹਥਿਆਰਬੰਦ: ਖੇਡ ਵਿੱਚ ਵਾਧੂ ਸਾਧਨ
ਲੋਟਸ ਪਾਂਡਾ ਸਿਰਫ਼ ਸੇਗੇਰੂਨੇਕਸ 'ਤੇ ਨਿਰਭਰ ਨਹੀਂ ਕਰਦਾ। ਇਹ ਸਮੂਹ ਵਾਧੂ ਟੂਲ ਤੈਨਾਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਕਰੋਮ ਬ੍ਰਾਊਜ਼ਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ ਇੱਕ ਕੂਕੀ ਚੋਰੀ ਕਰਨ ਵਾਲਾ।
- ਵੇਨਮ, ਇੱਕ ਓਪਨ-ਸੋਰਸ ਪ੍ਰੌਕਸੀ ਸਹੂਲਤ।
- ਉੱਚ ਸਿਸਟਮ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਵਾਲਾ ਟੂਲ।
- ਇਕੱਠੇ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਸੰਕੁਚਿਤ ਅਤੇ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਕਸਟਮ ਸੌਫਟਵੇਅਰ।
ਨੈੱਟਵਰਕ ਰਿਕੋਨਾਈਸੈਂਸ ਅਤੇ ਬਾਈਪਾਸਿੰਗ ਪਾਬੰਦੀਆਂ
ਹਮਲਾਵਰਾਂ ਨੂੰ ਟਾਰਗੇਟ ਵਾਤਾਵਰਣ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨ ਲਈ ਨੈੱਟ, ਟਾਸਕਲਿਸਟ, ਆਈਪਕਾਨਫਿਗ, ਅਤੇ ਨੈੱਟਸਟੈਟ ਵਰਗੇ ਖੋਜ ਕਮਾਂਡਾਂ ਚਲਾਉਂਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹ ਇੰਟਰਨੈਟ ਕਨੈਕਟੀਵਿਟੀ ਦੀ ਜਾਂਚ ਕਰਦੇ ਹਨ, ਨੈੱਟਵਰਕ ਪਾਬੰਦੀਆਂ ਦੇ ਆਧਾਰ 'ਤੇ ਆਪਣੇ ਪਹੁੰਚ ਨੂੰ ਵਿਵਸਥਿਤ ਕਰਦੇ ਹਨ। ਜੇਕਰ ਪਹੁੰਚ ਸੀਮਤ ਹੈ, ਤਾਂ ਉਹ ਇਹ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ:
- ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਨ ਲਈ ਪੀੜਤ ਦੀਆਂ ਪ੍ਰੌਕਸੀ ਸੈਟਿੰਗਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ।
- ਆਈਸੋਲੇਟਡ ਮਸ਼ੀਨਾਂ ਨੂੰ ਇੰਟਰਨੈੱਟ-ਪਹੁੰਚਯੋਗ ਸਿਸਟਮਾਂ ਨਾਲ ਜੋੜਨ ਲਈ ਵੇਨਮ ਪ੍ਰੌਕਸੀ ਟੂਲ ਨੂੰ ਤੈਨਾਤ ਕਰੋ।
ਇੱਕ ਲਗਾਤਾਰ ਖ਼ਤਰਾ
ਲੋਟਸ ਪਾਂਡਾ ਦੇ ਨਿਰੰਤਰ ਵਿਕਾਸ ਅਤੇ ਸੂਝਵਾਨ ਰਣਨੀਤੀਆਂ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਕਿ ਇਹ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸਾਈਬਰ ਖ਼ਤਰਾ ਬਣਿਆ ਹੋਇਆ ਹੈ। ਇਸਦੀ ਅਨੁਕੂਲਤਾ, ਚੋਰੀ ਲਈ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦਾ ਲਾਭ ਉਠਾਉਣ ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਜਾਸੂਸੀ ਕਾਰਵਾਈਆਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਯੋਗਤਾ ਇਸਨੂੰ ਏਸ਼ੀਆ-ਪ੍ਰਸ਼ਾਂਤ ਖੇਤਰ ਅਤੇ ਇਸ ਤੋਂ ਬਾਹਰ ਦੇ ਸੰਗਠਨਾਂ ਲਈ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਵਿਰੋਧੀ ਬਣਾਉਂਦੀ ਹੈ।
