Varianty malvéru Sagerunex

Notoricky známy aktér hrozby známy ako Lotus Panda bol pozorovaný pri kybernetických útokoch na vládny, výrobný, telekomunikačný a mediálny sektor na Filipínach, Vietname, Hongkongu a Taiwane. Tieto útoky zahŕňajú aktualizované verzie backdoor Sagerunex , malvérový kmeň, ktorý Lotus Panda využíva minimálne od roku 2016. Skupina APT (Advanced Persistent Threat) pokračuje v zdokonaľovaní svojej taktiky, využíva dlhodobé perzistentné príkazové shelly a vyvíja nové varianty svojho malvérového arzenálu.

Dobre známe meno v kybernetickej špionáži

Lotus Panda, tiež známy ako Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon a Thrip , je podozrivý čínsky hackerský kolektív, ktorý je aktívny minimálne od roku 2009. Výskumníci v oblasti kybernetickej bezpečnosti prvýkrát verejne odhalili svoje operácie v júni 2018, čím spojili skupinu so sériou kyberšpionážnych kampaní v Ázii.

História vysokoprofilových prienikov

Koncom roka 2022 bezpečnostní experti podrobne opísali útok Lotus Panda na digitálnu certifikačnú autoritu, ako aj vládne a obranné agentúry v Ázii. Tieto operácie zahŕňali nasadenie sofistikovaných zadných vrátok, ako sú Hannotog a Sagerunex, čo podčiarkuje schopnosť skupiny kompromitovať kritické inštitúcie.

Nejasné vstupné body, ale známe spôsoby útoku

Presná metóda, ktorú Lotus Panda použila na prekonanie svojich najnovších cieľov, zostáva neznáma. Skupina však v minulosti využívala útoky typu watering hole a spear-phishing na získanie počiatočného prístupu. Keď sú vo vnútri, útočníci nasadia zadné vrátka Sagerunex, o ktorých sa predpokladá, že ide o evolúciu staršieho variantu škodlivého softvéru známeho ako Evora .

Úhybná taktika: Využívanie legitímnych služieb

Nedávna aktivita spojená s Lotus Panda odhalila dva nové 'beta' varianty Sagerunexu, identifikované ladiacimi reťazcami v ich zdrojovom kóde. Tieto verzie šikovne využívajú legitímne služby ako Dropbox, X (známejšie ako Twitter) a Zimbra ako kanály Command-and-Control (C2), vďaka čomu je detekcia náročnejšia.

Pokročilé funkcie zadných vrátok

Sagerunex backdoor je navrhnutý tak, aby zhromažďoval podrobné informácie o infikovaných počítačoch, šifroval ich a exfiltroval na vzdialený server kontrolovaný útočníkmi. Varianty Dropbox a X sa údajne používali v rokoch 2018 až 2022, zatiaľ čo verzia Zimbra je v prevádzke od roku 2019.

Zimbra Webmail Variant: Skryté kontrolné centrum

Variant webmailu Zimbra Sagerunex presahuje jednoduchý zber údajov. Umožňuje útočníkom odosielať príkazy prostredníctvom obsahu pošty Zimbra, čím efektívne kontroluje napadnuté počítače. Ak sa v e-maile zistí legitímny príkaz, backdoor ho extrahuje a vykoná. V opačnom prípade malvér vymaže e-mail a čaká na ďalšie pokyny. Výsledky vykonaných príkazov sú zabalené ako archívy RAR a uložené v priečinkoch konceptov a koša poštovej schránky.

Kompletný arzenál: Ďalšie nástroje v hre

Lotus Panda sa nespolieha len na Sagerunex. Skupina nasadzuje ďalšie nástroje vrátane:

• Zlodej súborov cookie na získavanie poverení prehliadača Chrome.
• Venom, open-source proxy nástroj.
• Nástroj na eskaláciu privilégií na získanie vyššieho prístupu k systému.
• Vlastný softvér na kompresiu a šifrovanie zozbieraných údajov.

Rekognoskácia siete a obchádzanie obmedzení

Útočníci boli pozorovaní pri spúšťaní prieskumných príkazov, ako sú net, tasklist, ipconfig a netstat, aby vyhodnotili cieľové prostredie. Okrem toho kontrolujú internetové pripojenie a prispôsobujú svoj prístup na základe obmedzení siete. Ak je prístup obmedzený, pokúsia sa:

• Na vytvorenie spojenia použite nastavenia proxy servera obete.
• Nasaďte proxy nástroj Venom na prepojenie izolovaných strojov so systémami dostupnými na internete.

Pretrvávajúca hrozba

Pokračujúci vývoj a sofistikovaná taktika Lotus Panda naznačujú, že zostáva významnou kybernetickou hrozbou. Jeho schopnosť prispôsobiť sa, využívať legitímne služby na utajenie a vykonávať dlhodobé špionážne operácie z neho robí impozantného protivníka pre organizácie v ázijsko-tichomorskom regióne aj mimo neho.