Варианты вредоносного ПО Sagerunex
Известный злоумышленник, известный как Lotus Panda, был замечен в кибератаках на правительственные, производственные, телекоммуникационные и медийные секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване. Эти атаки включают обновленные версии бэкдора Sagerunex , вредоносного штамма, который Lotus Panda использует по крайней мере с 2016 года. Группа APT (Advanced Persistent Threat) продолжает совершенствовать свою тактику, используя долгосрочные постоянные командные оболочки и разрабатывая новые варианты своего арсенала вредоносных программ.
Оглавление
Известное имя в кибершпионаже
Lotus Panda, также известная как Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip , — предполагаемая китайская хакерская группа, действующая по крайней мере с 2009 года. Исследователи по кибербезопасности впервые публично раскрыли ее деятельность в июне 2018 года, связав группу с серией кампаний по кибершпионажу по всей Азии.
История громких вторжений
В конце 2022 года эксперты по безопасности подробно описали атаку Lotus Panda на центр цифровой сертификации, а также на правительственные и оборонные агентства по всей Азии. Эти операции включали развертывание сложных бэкдоров, таких как Hannotog и Sagerunex, что подчеркивает способность группы компрометировать критически важные учреждения.
Неясные точки входа, но знакомые методы атаки
Точный метод, используемый Lotus Panda для взлома своих последних целей, остается неизвестным. Однако у группы есть история использования атак типа «водяная яма» и целевого фишинга для получения первоначального доступа. Оказавшись внутри, злоумышленники используют бэкдор Sagerunex, который, как полагают, является эволюцией более старого варианта вредоносного ПО, известного как Evora .
Тактика уклонения: использование законных услуг
Недавняя активность, связанная с Lotus Panda, выявила два новых варианта Sagerunex «бета», идентифицированных по строкам отладки в исходном коде. Эти версии умело используют легитимные сервисы, такие как Dropbox, X (более известный как Twitter) и Zimbra, в качестве каналов Command-and-Control (C2), что затрудняет обнаружение.
Расширенные возможности бэкдора
Бэкдор Sagerunex предназначен для сбора подробной информации о зараженных машинах, ее шифрования и передачи на удаленный сервер, контролируемый злоумышленниками. Сообщается, что варианты Dropbox и X использовались в период с 2018 по 2022 год, а версия Zimbra работает с 2019 года.
Вариант Zimbra Webmail: скрытый центр управления
Вариант веб-почты Zimbra Sagerunex выходит за рамки простого сбора данных. Он позволяет злоумышленникам отправлять команды через содержимое почты Zimbra, эффективно контролируя скомпрометированные машины. Если в письме обнаружена легитимная команда, бэкдор извлекает и выполняет ее. В противном случае вредоносная программа удаляет письмо и ждет дальнейших инструкций. Результаты выполненных команд упаковываются в архивы RAR и сохраняются в папках «Черновики» и «Корзина» почтового ящика.
Полный арсенал: дополнительные инструменты в игре
Lotus Panda не полагается исключительно на Sagerunex. Группа использует дополнительные инструменты, в том числе:
- Программа для кражи файлов cookie, позволяющая собирать учетные данные браузера Chrome.
- Venom — прокси-утилита с открытым исходным кодом.
- Инструмент повышения привилегий для получения более высокого уровня доступа к системе.
- Специальное программное обеспечение для сжатия и шифрования собранных данных.
Сетевая разведка и обход ограничений
Атакующие были замечены за выполнением разведывательных команд, таких как net, tasklist, ipconfig и netstat, для оценки целевой среды. Кроме того, они проверяют наличие подключения к Интернету, корректируя свой подход на основе сетевых ограничений. Если доступ ограничен, они пытаются:
- Используйте настройки прокси-сервера жертвы для установки соединения.
- Разверните прокси-инструмент Venom, чтобы связать изолированные машины с доступными через Интернет системами.
Постоянная угроза
Продолжающаяся эволюция Lotus Panda и ее изощренная тактика указывают на то, что она остается значительной киберугрозой. Ее способность адаптироваться, использовать законные сервисы для скрытности и выполнять долгосрочные шпионские операции делают ее грозным противником для организаций в Азиатско-Тихоокеанском регионе и за его пределами.
