Сагерунек варијанте малвера
Злогласни актер претњи познат као Лотус Панда је примећен како покреће сајбер нападе на владине, производне, телекомуникацијске и медијске секторе на Филипинима, Вијетнаму, Хонг Конгу и Тајвану. Ови напади укључују ажуриране верзије Сагерунек бацкдоор-а, малвера који Лотус Панда користи од најмање 2016. Група АПТ (Адванцед Персистент Тхреат) наставља да усавршава своју тактику, користећи дугорочне упорне командне шкољке и развија нове варијанте свог арсенала малвера.
Преглед садржаја
Добро познато име у сајбер шпијунажи
Лотус Панда, такође познат као Биллбуг, Бронзе Елгин, Лотус Блоссом, Спринг Драгон и Тхрип , је осумњичени кинески хакерски колектив који је активан најмање од 2009. Истраживачи сајбер безбедности су први пут јавно разоткрили своје операције у јуну 2018, повезујући групу са низом сајбер кампања широм Азије.
Историја упада високог профила
Крајем 2022. године, стручњаци за безбедност су детаљно описали напад Лотус Панде на ауторитет за дигиталне сертификате, као и на владине и одбрамбене агенције широм Азије. Ове операције су укључивале примену софистицираних бацкдоор-а као што су Ханнотог и Сагерунек, наглашавајући способност групе да компромитује критичне институције.
Нејасне тачке уласка, али познате методе напада
Прецизна метода коју је Лотус Панда користила да пробије своје најновије мете остаје непозната. Међутим, група има историју коришћења рупа за заливање и спеар-пхисхинг напада да би добила почетни приступ. Када уђу, нападачи постављају Сагерунек бацкдоор, за који се верује да је еволуција старије варијанте малвера познате као Евора .
Тактике избегавања: искоришћавање легитимних услуга
Недавне активности повезане са Лотус Пандом откриле су две нове 'бета' варијанте Сагерунек-а, идентификоване низовима за отклањање грешака у њиховом изворном коду. Ове верзије паметно користе легитимне услуге као што су Дропбок, Кс (познатији као Твиттер) и Зимбра као командни и контролни (Ц2) канали, што откривање чини изазовнијим.
Напредне Бацкдоор могућности
Сагерунек бацкдоор је дизајниран да прикупља детаљне информације о зараженим машинама, шифрује их и ексфилтрира на удаљени сервер који контролишу нападачи. Дропбок и Кс варијанте су наводно биле у употреби између 2018. и 2022. године, док је Зимбра верзија оперативна од 2019. године.
Зимбра Варијанта веб поште: Тајно контролно средиште
Зимбра веб-маил варијанта Сагерунек-а превазилази једноставно прикупљање података. Омогућава нападачима да шаљу команде преко садржаја поште Зимбра, ефикасно контролишу компромитоване машине. Ако се у е-поруци открије легитимна команда, бацкдоор је издваја и извршава. У супротном, злонамерни софтвер брише е-пошту и чека даља упутства. Резултати извршених команди се пакују као РАР архиве и чувају у фасцикли нацрт и смеће поштанског сандучета.
Пун арсенал: додатни алати у игри
Лотус Панда се не ослања само на Сагерунек. Група примењује додатне алате, укључујући:
- Крадљивац колачића за прикупљање акредитива Цхроме прегледача.
- Веном, прокси услужни програм отвореног кода.
- Алат за ескалацију привилегија за добијање већег приступа систему.
- Прилагођени софтвер за компримовање и шифровање прикупљених података.
Мрежно извиђање и заобилажење ограничења
Примећено је да нападачи извршавају команде за извиђање као што су нет, тасклист, ипцонфиг и нетстат да би проценили циљно окружење. Поред тога, они проверавају интернет конекцију, прилагођавајући свој приступ на основу мрежних ограничења. Ако је приступ ограничен, они покушавају да:
- Користите подешавања проксија жртве да бисте успоставили везу.
- Поставите Веном проки алат да повежете изоловане машине са системима доступним на Интернету.
Текућа претња
Континуирана еволуција и софистициране тактике Лотус Панде указују на то да она остаје значајна сајбер претња. Његова способност да се прилагоди, искористи легитимне услуге за стеалтх и изврши дугорочне шпијунске операције чини га страшним противником за организације у азијско-пацифичком региону и шире.
