Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Variantet e malware Sagerunex

Variantet e malware Sagerunex

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:
Shqip

Aktori famëkeq i kërcënimit i njohur si Lotus Panda është vërejtur duke nisur sulme kibernetike ndaj qeverisë, prodhimit, telekomunikacionit dhe sektorëve të medias në Filipine, Vietnam, Hong Kong dhe Tajvan. Këto sulme përfshijnë versione të përditësuara të derës së pasme të Sagerunex , një lloj malware që Lotus Panda e ka përdorur që të paktën nga viti 2016. Grupi APT (Kërcënimi i Përparuar i Përparuar) vazhdon të përsosë taktikat e tij, duke përdorur predha komanduese të qëndrueshme afatgjatë dhe duke zhvilluar variante të reja të arsenalit të tij malware.

Një emër i njohur në spiunazhin kibernetik

Lotus Panda, i njohur gjithashtu si Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon dhe Thrip , është një grup i dyshuar i hakerëve kinezë që ka qenë aktiv të paktën që nga viti 2009. Studiuesit e sigurisë kibernetike ekspozuan fillimisht publikisht operacionet e tij në qershor 2018, duke e lidhur grupin me një seri fushatash kibernetike në të gjithë Azinë.

Një histori e ndërhyrjeve të profilit të lartë

Në fund të vitit 2022, ekspertët e sigurisë detajuan sulmin e Lotus Panda ndaj një autoriteti të certifikatës dixhitale, si dhe ndaj qeverisë dhe agjencive të mbrojtjes në të gjithë Azinë. Këto operacione përfshinin vendosjen e dyerve të pasme të sofistikuara si Hannotog dhe Sagerunex, duke nënvizuar aftësinë e grupit për të kompromentuar institucionet kritike.

Pika të paqarta hyrjeje, por metoda të njohura sulmi

Metoda e saktë e përdorur nga Lotus Panda për të thyer objektivat e saj të fundit mbetet e panjohur. Megjithatë, grupi ka një histori të përdorimit të vrimave të ujitjes dhe sulmeve me shtiza për të fituar aksesin fillestar. Pasi hyjnë brenda, sulmuesit vendosin derën e pasme të Sagerunex, e cila besohet të jetë një evolucion i një varianti më të vjetër malware të njohur si Evora .

Taktika evazive: Shfrytëzimi i shërbimeve legjitime

Aktiviteti i fundit i lidhur me Lotus Panda ka zbuluar dy variante të reja 'beta' të Sagerunex, të identifikuara nga vargjet e korrigjimit brenda kodit të tyre burimor. Këto versione përdorin me zgjuarsi shërbime legjitime si Dropbox, X (i njohur më mirë si Twitter) dhe Zimbra si kanale Command-and-Control (C2), duke e bërë zbulimin më sfidues.

Aftësitë e avancuara të dyerve të pasme

Backdoor Sagerunex është krijuar për të mbledhur informacion të detajuar në lidhje me makinat e infektuara, për ta enkriptuar dhe për ta shfrytëzuar atë në një server të largët të kontrolluar nga sulmuesit. Variantet Dropbox dhe X thuhet se ishin në përdorim midis 2018 dhe 2022, ndërsa versioni Zimbra ka qenë funksional që nga viti 2019.

Varianti i postës elektronike të Zimbra: Një qendër kontrolli e fshehtë

Varianti i postës elektronike Zimbra i Sagerunex shkon përtej mbledhjes së thjeshtë të të dhënave. Ai u mundëson sulmuesve të dërgojnë komanda përmes përmbajtjes së postës Zimbra, duke kontrolluar në mënyrë efektive makinat e komprometuara. Nëse një komandë legjitime zbulohet në një email, backdoor e nxjerr dhe e ekzekuton atë. Përndryshe, malware fshin emailin dhe pret për udhëzime të mëtejshme. Rezultatet e komandave të ekzekutuara paketohen si arkiva RAR dhe ruhen në dosjet e draftit dhe të koshit të kutisë postare.

Një Arsenal i plotë: Mjete shtesë në lojë

Lotus Panda nuk mbështetet vetëm në Sagerunex. Grupi vendos mjete shtesë, duke përfshirë:

  • Një vjedhës cookie për të mbledhur kredencialet e shfletuesit Chrome.
  • Venom, një mjet proxy me burim të hapur.
  • Një mjet për përshkallëzimin e privilegjeve për të fituar akses më të lartë në sistem.
  • Softuer i personalizuar për kompresimin dhe enkriptimin e të dhënave të mbledhura.

Zbulimi i rrjetit dhe anashkalimi i kufizimeve

Sulmuesit janë vërejtur duke ekzekutuar komandat e zbulimit si net, tasklist, ipconfig dhe netstat për të vlerësuar mjedisin e synuar. Për më tepër, ata kontrollojnë lidhjen me internetin, duke rregulluar qasjen e tyre bazuar në kufizimet e rrjetit. Nëse qasja është e kufizuar, ata përpiqen të:

  • Përdorni cilësimet e përfaqësuesit të viktimës për të krijuar një lidhje.
  • Vendosni mjetin proxy Venom për të lidhur makinat e izoluara me sistemet e aksesueshme nga interneti.

Një kërcënim i vazhdueshëm

Evolucioni i vazhdueshëm i Lotus Panda dhe taktikat e sofistikuara tregojnë se ai mbetet një kërcënim i rëndësishëm kibernetik. Aftësia e tij për të përshtatur, për të shfrytëzuar shërbimet legjitime për vjedhje dhe për të ekzekutuar operacione afatgjata spiunazhi e bëjnë atë një kundërshtar të frikshëm për organizatat në rajonin e Azi-Paqësorit dhe më gjerë.

Në trend

Më e shikuara

Po ngarkohet...