Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Variante de malware Sagerunex

Variante de malware Sagerunex

Până în Mezo în Amenințare persistentă avansată (APT), Ușile din spate
Tradu in:
Română

Notoriu actor de amenințare cunoscut sub numele de Lotus Panda a fost observat lansând atacuri cibernetice asupra sectoarelor guvernamentale, de producție, de telecomunicații și media din Filipine, Vietnam, Hong Kong și Taiwan. Aceste atacuri implică versiuni actualizate ale backdoor- ului Sagerunex , o tulpină de malware pe care Lotus Panda o folosește cel puțin din 2016. Grupul APT (Advanced Persistent Threat) continuă să-și perfecționeze tacticile, utilizând shell-uri de comandă persistente pe termen lung și dezvoltând noi variante ale arsenalului său de malware.

Un nume binecunoscut în spionajul cibernetic

Lotus Panda, cunoscut și sub numele de Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon și Thrip , este un colectiv chinez suspect de hacking care este activ din cel puțin 2009. Cercetătorii în securitate cibernetică și-au expus pentru prima dată public operațiunile în iunie 2018, legând grupul de o serie de campanii de spionaj cibernetic din Asia.

O istorie a intruziunilor de profil înalt

La sfârșitul anului 2022, experții în securitate au detaliat atacul Lotus Panda asupra unei autorități de certificare digitală, precum și a agențiilor guvernamentale și de apărare din Asia. Aceste operațiuni au implicat desfășurarea unor uși din spate sofisticate, cum ar fi Hannotog și Sagerunex, subliniind capacitatea grupului de a compromite instituțiile critice.

Puncte de intrare neclare, dar metode de atac familiare

Metoda precisă folosită de Lotus Panda pentru a-și încălca cele mai recente ținte rămâne necunoscută. Cu toate acestea, grupul are o istorie de folosire a atacurilor de adăpost și spear-phishing pentru a obține accesul inițial. Odată înăuntru, atacatorii instalează ușa din spate Sagerunex, despre care se crede că este o evoluție a unei variante mai vechi de malware, cunoscută sub numele de Evora .

Tactici evazive: exploatarea serviciilor legitime

Activitatea recentă legată de Lotus Panda a dezvăluit două noi variante „beta” de Sagerunex, identificate prin șiruri de depanare din codul lor sursă. Aceste versiuni folosesc inteligent servicii legitime precum Dropbox, X (mai bine cunoscut sub numele de Twitter) și Zimbra ca canale de comandă și control (C2), ceea ce face detectarea mai dificilă.

Capabilități avansate de backdoor

Backdoorul Sagerunex este conceput pentru a colecta informații detaliate despre mașinile infectate, pentru a le cripta și pentru a le exfiltra pe un server de la distanță controlat de atacatori. Se pare că variantele Dropbox și X au fost utilizate între 2018 și 2022, în timp ce versiunea Zimbra este operațională din 2019.

Varianta Zimbra Webmail: Un centru de control ascuns

Varianta de webmail Zimbra a Sagerunex depășește simpla colectare a datelor. Le permite atacatorilor să trimită comenzi prin conținutul de e-mail Zimbra, controlând eficient mașinile compromise. Dacă o comandă legitimă este detectată într-un e-mail, backdoor-ul o extrage și o execută. În caz contrar, malware-ul șterge e-mailul și așteaptă instrucțiuni suplimentare. Rezultatele comenzilor executate sunt împachetate ca arhive RAR și stocate în folderele cu schiță și coș de gunoi ale cutiei poștale.

Un arsenal complet: instrumente suplimentare în joc

Lotus Panda nu se bazează doar pe Sagerunex. Grupul implementează instrumente suplimentare, inclusiv:

  • Un furt de cookie-uri pentru a colecta acreditările browserului Chrome.
  • Venom, un utilitar proxy open-source.
  • Un instrument de escaladare a privilegiilor pentru a obține un acces mai mare la sistem.
  • Software personalizat pentru comprimarea și criptarea datelor colectate.

Recunoașterea rețelei și ocolirea restricțiilor

Atacatorii au fost observați rulând comenzi de recunoaștere precum net, tasklist, ipconfig și netstat pentru a evalua mediul țintă. În plus, verifică conexiunea la internet, ajustându-și abordarea în funcție de restricțiile de rețea. Dacă accesul este limitat, ei încearcă să:

  • Utilizați setările proxy ale victimei pentru a stabili o conexiune.
  • Implementați instrumentul proxy Venom pentru a conecta mașinile izolate la sistemele accesibile pe internet.

O amenințare continuă

Evoluția continuă și tacticile sofisticate ale Lotus Panda indică faptul că rămâne o amenințare cibernetică semnificativă. Capacitatea sa de a se adapta, de a folosi servicii legitime pentru ascundere și de a executa operațiuni de spionaj pe termen lung îl fac un adversar formidabil pentru organizațiile din regiunea Asia-Pacific și nu numai.

Trending

Cele mai văzute

Se încarcă...