Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) Sagerunex Malware-varianter

Sagerunex Malware-varianter

Med Mezo år Advanced Persistent Threat (APT), Bakdörrar
Översätt till:
Svenska

Den ökända hotaktören känd som Lotus Panda har observerats starta cyberattacker mot myndigheter, tillverkning, telekommunikation och mediasektorer i Filippinerna, Vietnam, Hong Kong och Taiwan. Dessa attacker involverar uppdaterade versioner av Sagerunex- bakdörren, en skadlig kod som Lotus Panda har utnyttjat sedan åtminstone 2016. APT-gruppen (Advanced Persistent Threat) fortsätter att förfina sin taktik, använder långtidsbeständiga kommandoskal och utvecklar nya varianter av sin malwarearsenal.

Ett välkänt namn inom cyberspionage

Lotus Panda, även känd som Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon och Thrip , är ett misstänkt kinesiskt hackningskollektiv som har varit aktivt sedan åtminstone 2009. Cybersäkerhetsforskare avslöjade först dess verksamhet offentligt i juni 2018, vilket kopplade gruppen till en serie cyberspionagekampanjer i Asien.

En historia av högprofilerade intrång

I slutet av 2022 beskrev säkerhetsexperter Lotus Pandas attack mot en digital certifikatmyndighet, såväl som regeringar och försvarsmyndigheter i Asien. Dessa operationer involverade utplaceringen av sofistikerade bakdörrar som Hannotog och Sagerunex, vilket understryker gruppens förmåga att äventyra kritiska institutioner.

Otydliga ingångspunkter men bekanta attackmetoder

Den exakta metoden som Lotus Panda använde för att bryta sina senaste mål är fortfarande okänd. Men gruppen har en historia av att använda vattenhål och spjutfiskeattacker för att få första åtkomst. Väl inne distribuerar angriparna Sagerunex-bakdörren, som tros vara en utveckling av en äldre malware-variant känd som Evora .

Undvikande taktik: Utnyttja legitima tjänster

Den senaste tidens aktivitet kopplad till Lotus Panda har avslöjat två nya "beta"-varianter av Sagerunex, identifierade av felsökningssträngar i deras källkod. Dessa versioner använder skickligt legitima tjänster som Dropbox, X (mer känd som Twitter) och Zimbra som Command-and-Control (C2)-kanaler, vilket gör upptäckten mer utmanande.

Avancerade bakdörrsfunktioner

Sagerunex-bakdörren är utformad för att samla in detaljerad information om infekterade maskiner, kryptera den och exfiltrera den till en fjärrserver som kontrolleras av angriparna. Dropbox- och X-varianterna har enligt uppgift varit i bruk mellan 2018 och 2022, medan Zimbra-versionen har varit i drift sedan 2019.

Zimbra Webmail Variant: A Covert Control Hub

Zimbra webmail-varianten av Sagerunex går utöver enkel datainsamling. Det gör det möjligt för angripare att skicka kommandon via Zimbras e-postinnehåll, vilket effektivt kontrollerar komprometterade maskiner. Om ett legitimt kommando upptäcks i ett e-postmeddelande, extraherar och utför bakdörren det. Annars tar den skadliga programvaran bort e-postmeddelandet och väntar på ytterligare instruktioner. Resultaten av utförda kommandon paketeras som RAR-arkiv och lagras i brevlådans utkast- och papperskorgar.

A Full Arsenal: Ytterligare verktyg i spel

Lotus Panda förlitar sig inte enbart på Sagerunex. Gruppen distribuerar ytterligare verktyg, inklusive:

  • En cookie-stealer för att samla in användaruppgifter för Chrome-webbläsaren.
  • Venom, ett proxyverktyg med öppen källkod.
  • Ett privilegieupptrappningsverktyg för att få högre systemåtkomst.
  • Anpassad programvara för att komprimera och kryptera insamlad data.

Nätverksspaning och kringgående av begränsningar

Angriparna har observerats köra spaningskommandon som net, tasklist, ipconfig och netstat för att bedöma målmiljön. Dessutom letar de efter Internetanslutning och justerar sin strategi baserat på nätverksbegränsningar. Om åtkomsten är begränsad försöker de:

  • Använd offrets proxyinställningar för att upprätta en anslutning.
  • Distribuera Venom proxy-verktyget för att länka isolerade maskiner till internet-tillgängliga system.

Ett pågående hot

Lotus Pandas fortsatta utveckling och sofistikerade taktik indikerar att det förblir ett betydande cyberhot. Dess förmåga att anpassa sig, utnyttja legitima tjänster för smygverksamhet och utföra långsiktiga spioneri gör det till en formidabel motståndare för organisationer i Asien-Stillahavsområdet och utanför.

Trendigt

Mest sedda

Läser in...