Različice zlonamerne programske opreme Sagerunex
Razvpiti akter grožnje, znan kot Lotus Panda, je bil opažen pri kibernetskih napadih na vladne, proizvodne, telekomunikacijske in medijske sektorje na Filipinih, v Vietnamu, Hong Kongu in Tajvanu. Ti napadi vključujejo posodobljene različice stranskih vrat Sagerunex , različice zlonamerne programske opreme, ki jo Lotus Panda uporablja vsaj od leta 2016. Skupina APT (Advanced Persistent Threat) še naprej izpopolnjuje svojo taktiko, uporablja dolgotrajne obstojne ukazne lupine in razvija nove različice svojega arzenala zlonamerne programske opreme.
Kazalo
Dobro znano ime v kibernetskem vohunjenju
Lotus Panda, znan tudi kot Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon in Thrip , je domnevna kitajska hekerska skupina, ki je aktivna vsaj od leta 2009. Raziskovalci kibernetske varnosti so njeno delovanje prvič javno razkrili junija 2018 in skupino povezali z vrsto kampanj kibernetskega vohunjenja po vsej Aziji.
Zgodovina odmevnih vdorov
Konec leta 2022 so varnostni strokovnjaki podrobno opisali napad Lotus Pande na overitelja digitalnih potrdil ter vladne in obrambne agencije po vsej Aziji. Te operacije so vključevale uvedbo sofisticiranih stranskih vrat, kot sta Hannotog in Sagerunex, kar je poudarilo sposobnost skupine, da ogrozi kritične institucije.
Nejasne vstopne točke, vendar znane metode napada
Natančna metoda, ki jo je Lotus Panda uporabila za preboj zadnjih ciljev, ostaja neznana. Vendar ima skupina zgodovino uporabe napadov z lažnim predstavljanjem in lažnim predstavljanjem, da bi pridobila začetni dostop. Ko so notri, napadalci uporabijo stranska vrata Sagerunex, ki naj bi bila razvoj starejše različice zlonamerne programske opreme, znane kot Evora .
Taktike izogibanja: izkoriščanje zakonitih storitev
Nedavna dejavnost, povezana z Lotus Pando, je razkrila dve novi 'beta' različici Sagerunexa, prepoznani po nizih za odpravljanje napak v izvorni kodi. Te različice pametno uporabljajo zakonite storitve, kot so Dropbox, X (bolj znan kot Twitter) in Zimbra kot kanale za upravljanje in nadzor (C2), zaradi česar je odkrivanje zahtevnejše.
Napredne backdoor zmogljivosti
Zadnja vrata Sagerunex so zasnovana tako, da zbirajo podrobne informacije o okuženih strojih, jih šifrirajo in izločijo na oddaljeni strežnik, ki ga nadzorujejo napadalci. Različici Dropbox in X naj bi bili v uporabi med letoma 2018 in 2022, medtem ko različica Zimbra deluje od leta 2019.
Različica spletne pošte Zimbra: prikrito središče za nadzor
Različica spletne pošte Zimbra Sagerunex presega preprosto zbiranje podatkov. Napadalcem omogoča pošiljanje ukazov prek poštne vsebine Zimbra in tako učinkovito nadzoruje ogrožene stroje. Če je v e-pošti zaznan zakonit ukaz, ga backdoor ekstrahira in izvede. V nasprotnem primeru zlonamerna programska oprema izbriše e-pošto in čaka na nadaljnja navodila. Rezultati izvedenih ukazov so zapakirani kot arhivi RAR in shranjeni v mapah osnutka in smeti nabiralnika.
Celoten arzenal: dodatna orodja v igri
Lotus Panda se ne zanaša samo na Sagerunex. Skupina uporablja dodatna orodja, vključno z:
- Kraj piškotkov za zbiranje poverilnic brskalnika Chrome.
- Venom, odprtokodni posredniški pripomoček.
- Orodje za stopnjevanje privilegijev za pridobitev višjega dostopa do sistema.
- Programska oprema po meri za stiskanje in šifriranje zbranih podatkov.
Preiskovanje omrežja in obhodne omejitve
Napadalci so opazili, da izvajajo izvidniške ukaze, kot so net, tasklist, ipconfig in netstat, da ocenijo ciljno okolje. Poleg tega preverijo internetno povezljivost in prilagodijo svoj pristop glede na omrežne omejitve. Če je dostop omejen, poskušajo:
- Za vzpostavitev povezave uporabite nastavitve proxyja žrtve.
- Namestite orodje Venom proxy za povezavo izoliranih strojev z internetno dostopnimi sistemi.
Stalna grožnja
Nadaljnji razvoj in prefinjene taktike Lotus Pande kažejo, da ostaja pomembna kibernetska grožnja. Zaradi njegove zmožnosti prilagajanja, izkoriščanja zakonitih storitev za prikrito delovanje in izvajanja dolgoročnih vohunskih operacij je mogočen nasprotnik za organizacije v azijsko-pacifiški regiji in zunaj nje.
