Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Sagerunex Malware Variants

Sagerunex Malware Variants

Por Mezo em Ameaça Persistente Avançada (APT), Backdoors
Traduzir Para:
Português

O notório ator de ameaças conhecido como Lotus Panda foi observado lançando ataques cibernéticos em setores governamentais, de manufatura, telecomunicações e mídia nas Filipinas, Vietnã, Hong Kong e Taiwan. Esses ataques envolvem versões atualizadas do backdoor Sagerunex , uma cepa de malware que o Lotus Panda vem aproveitando desde pelo menos 2016. O grupo APT (Advanced Persistent Threat) continua a refinar suas táticas, empregando shells de comando persistentes de longo prazo e desenvolvendo novas variantes de seu arsenal de malware.

Um Nome Bem Conhecido em Espionagem Cibernética

O Lotus Panda, também conhecido como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon e Thrip , é um suposto coletivo de hackers chinês que está ativo desde pelo menos 2009. Pesquisadores de segurança cibernética expuseram publicamente suas operações pela primeira vez em junho de 2018, vinculando o grupo a uma série de campanhas de espionagem cibernética na Ásia.

Uma História de Intrusões de Alto Perfil

No final de 2022, especialistas em segurança detalharam o ataque do Lotus Panda a uma autoridade de certificação digital, bem como a agências governamentais e de defesa em toda a Ásia. Essas operações envolveram a implantação de backdoors sofisticados, como Hannotog e Sagerunex, ressaltando a capacidade do grupo de comprometer instituições críticas.

Pontos de Entrada Pouco Claros, mas Métodos de Ataque Familiares

O método preciso usado pelo Lotus Panda para violar seus alvos mais recentes permanece desconhecido. No entanto, o grupo tem um histórico de empregar ataques de watering hole e spear-phishing para obter acesso inicial. Uma vez lá dentro, os invasores implantam o backdoor Sagerunex, que se acredita ser uma evolução de uma variante de malware mais antiga conhecida como Evora .

Táticas Evasivas: Explorando Serviços Legítimos

Atividade recente ligada ao Lotus Panda revelou duas novas variantes 'beta' do Sagerunex, identificadas por strings de depuração dentro de seu código-fonte. Essas versões usam habilmente serviços legítimos como Dropbox, X (mais conhecido como Twitter) e Zimbra como canais de Comando e Controle (C2), tornando a detecção mais desafiadora.

Capacidades Avançadas de Backdoor

O backdoor Sagerunex é projetado para coletar informações detalhadas sobre máquinas infectadas, criptografá-las e exfiltrá-las para um servidor remoto controlado pelos invasores. As variantes Dropbox e X foram supostamente usadas entre 2018 e 2022, enquanto a versão Zimbra está operacional desde 2019.

Variante Zimbra Webmail: Um Centro Secreto de Controle 

A variante Zimbra webmail do Sagerunex vai além da simples coleta de dados. Ela permite que invasores enviem comandos por meio do conteúdo do e-mail Zimbra, controlando efetivamente máquinas comprometidas. Se um comando legítimo for detectado em um e-mail, o backdoor o extrai e o executa. Caso contrário, o malware exclui o e-mail e aguarda por mais instruções. Os resultados dos comandos executados são empacotados como arquivos RAR e armazenados nas pastas de rascunho e lixo da caixa de correio.

Um Arsenal Completo: Ferramentas Adicionais em Jogo

O Lotus Panda não depende somente do Sagerunex. O grupo implementa ferramentas adicionais, incluindo:

  • Um ladrão de cookies para coletar credenciais do navegador Chrome.
  • Venom, um utilitário proxy de código aberto.
  • Uma ferramenta de escalonamento de privilégios para obter maior acesso ao sistema.
  • Software personalizado para compactar e criptografar dados coletados.

Reconhecimento de Rede e Contornar Restrições

Os invasores foram observados executando comandos de reconhecimento como net, tasklist, ipconfig e netstat para avaliar o ambiente alvo. Além disso, eles verificam a conectividade com a Internet, ajustando sua abordagem com base nas restrições de rede. Se o acesso for limitado, eles tentam:

  • Use as configurações de proxy da vítima para estabelecer uma conexão.
  • Implante a ferramenta de proxy Venom para vincular máquinas isoladas a sistemas acessíveis pela Internet.

Uma Ameaça Contínua

A evolução contínua e as táticas sofisticadas do Lotus Panda indicam que ele continua sendo uma ameaça cibernética significativa. Sua capacidade de se adaptar, alavancar serviços legítimos para furtividade e executar operações de espionagem de longo prazo o tornam um adversário formidável para organizações na região da Ásia-Pacífico e além.

Tendendo

Mais visto

Carregando...