Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Warianty złośliwego oprogramowania Sagerunex

Warianty złośliwego oprogramowania Sagerunex

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Tylne drzwi
Przetłumacz na:
Polski

Znany aktor zagrożeń znany jako Lotus Panda został zauważony podczas przeprowadzania cyberataków na sektory rządowy, produkcyjny, telekomunikacyjny i medialny na Filipinach, w Wietnamie, Hongkongu i na Tajwanie. Ataki te obejmują zaktualizowane wersje backdoora Sagerunex , szczepu złośliwego oprogramowania, który Lotus Panda wykorzystuje od co najmniej 2016 r. Grupa APT (Advanced Persistent Threat) nadal udoskonala swoje taktyki, wykorzystując długoterminowe powłoki poleceń i opracowując nowe warianty swojego arsenału złośliwego oprogramowania.

Znana nazwa w cybernetycznym szpiegostwie

Lotus Panda, znany również jako Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon i Thrip , to podejrzewany o działalność chiński kolektyw hakerski, działający co najmniej od 2009 roku. Badacze zajmujący się bezpieczeństwem cybernetycznym po raz pierwszy ujawnili publicznie działania grupy w czerwcu 2018 roku, łącząc ją z serią kampanii cybernetycznego szpiegostwa w całej Azji.

Historia głośnych włamań

Pod koniec 2022 r. eksperci ds. bezpieczeństwa szczegółowo opisali atak Lotus Panda na urząd certyfikacji cyfrowej, a także agencje rządowe i obronne w całej Azji. Operacje te obejmowały wdrożenie zaawansowanych tylnych drzwi, takich jak Hannotog i Sagerunex, co podkreśla zdolność grupy do narażania na szwank kluczowych instytucji.

Niejasne punkty wejścia, ale znane metody ataku

Dokładna metoda, której używa Lotus Panda, aby włamać się do swoich najnowszych celów, pozostaje nieznana. Jednak grupa ma historię stosowania ataków typu watering hole i spear-phishing w celu uzyskania wstępnego dostępu. Po wejściu do środka atakujący wdrażają tylne wejście Sagerunex, które uważa się za ewolucję starszej odmiany złośliwego oprogramowania znanej jako Evora .

Taktyki unikowe: wykorzystywanie legalnych usług

Ostatnia aktywność związana z Lotus Panda ujawniła dwie nowe „beta” odmiany Sagerunex, zidentyfikowane przez ciągi debugowania w ich kodzie źródłowym. Te wersje sprytnie wykorzystują legalne usługi, takie jak Dropbox, X (lepiej znane jako Twitter) i Zimbra jako kanały Command-and-Control (C2), co utrudnia wykrycie.

Zaawansowane możliwości backdoorów

Backdoor Sagerunex ma na celu zbieranie szczegółowych informacji o zainfekowanych maszynach, szyfrowanie ich i eksfiltrowanie na zdalny serwer kontrolowany przez atakujących. Warianty Dropbox i X były podobno używane w latach 2018–2022, podczas gdy wersja Zimbra działa od 2019 r.

Wariant Zimbra Webmail: Ukryty hub sterowania

Wariant Zimbra webmail Sagerunex wykracza poza proste zbieranie danych. Umożliwia atakującym wysyłanie poleceń za pośrednictwem zawartości poczty Zimbra, skutecznie kontrolując zainfekowane maszyny. Jeśli w wiadomości e-mail zostanie wykryte prawidłowe polecenie, backdoor je wyodrębnia i wykonuje. W przeciwnym razie złośliwe oprogramowanie usuwa wiadomość e-mail i czeka na dalsze instrukcje. Wyniki wykonanych poleceń są pakowane jako archiwa RAR i przechowywane w folderach roboczych i kosza skrzynki pocztowej.

Pełny arsenał: dodatkowe narzędzia w grze

Lotus Panda nie polega wyłącznie na Sagerunexie. Grupa wdraża dodatkowe narzędzia, w tym:

  • Złodziej plików cookie służący do zbierania danych uwierzytelniających przeglądarki Chrome.
  • Venom, narzędzie proxy typu open source.
  • Narzędzie do eskalacji uprawnień umożliwiające uzyskanie większego dostępu do systemu.
  • Oprogramowanie dostosowane do kompresji i szyfrowania zebranych danych.

Rozpoznanie sieci i omijanie ograniczeń

Zaobserwowano, że atakujący uruchamiają polecenia rozpoznawcze, takie jak net, tasklist, ipconfig i netstat, aby ocenić środowisko docelowe. Ponadto sprawdzają łączność internetową, dostosowując swoje podejście na podstawie ograniczeń sieciowych. Jeśli dostęp jest ograniczony, próbują:

  • Użyj ustawień serwera proxy ofiary, aby nawiązać połączenie.
  • Wdróż narzędzie proxy Venom, aby połączyć odizolowane maszyny z systemami dostępnymi za pośrednictwem Internetu.

Ciągłe zagrożenie

Ciągła ewolucja i wyrafinowane taktyki Lotus Panda wskazują, że pozostaje on poważnym zagrożeniem cybernetycznym. Jego zdolność do adaptacji, wykorzystywania legalnych usług do ukrywania się i wykonywania długoterminowych operacji szpiegowskich sprawiają, że jest groźnym przeciwnikiem dla organizacji w regionie Azji i Pacyfiku i poza nim.

Popularne

Najczęściej oglądane

Ładowanie...