มัลแวร์ Sagerunex หลากหลายชนิด
กลุ่มผู้ก่อภัยคุกคามฉาวโฉ่ที่รู้จักกันในชื่อ Lotus Panda ถูกสังเกตเห็นว่ากำลังเปิดฉากโจมตีทางไซเบอร์ในหน่วยงานของรัฐ การผลิต โทรคมนาคม และสื่อในฟิลิปปินส์ เวียดนาม ฮ่องกง และไต้หวัน การโจมตีเหล่านี้เกี่ยวข้องกับแบ็คดอร์ Sagerunex เวอร์ชันอัปเดต ซึ่งเป็นมัลแวร์ที่กลุ่ม Lotus Panda ได้ใช้ประโยชน์มาตั้งแต่ปี 2016 เป็นอย่างน้อย กลุ่ม APT (Advanced Persistent Threat) ยังคงปรับปรุงกลวิธีของตนต่อไป โดยใช้เชลล์คำสั่งแบบถาวรระยะยาว และพัฒนามัลแวร์รูปแบบใหม่
สารบัญ
ชื่อที่รู้จักกันดีในด้านการจารกรรมทางไซเบอร์
Lotus Panda หรือที่รู้จักกันในชื่อ Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon และ Thrip เป็นกลุ่มแฮกเกอร์ชาวจีนที่ต้องสงสัยซึ่งเคลื่อนไหวมาตั้งแต่ปี 2009 เป็นอย่างน้อย นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยปฏิบัติการของกลุ่มนี้ต่อสาธารณะเป็นครั้งแรกเมื่อเดือนมิถุนายน 2018 โดยเชื่อมโยงกลุ่มนี้กับแคมเปญจารกรรมทางไซเบอร์ทั่วเอเชีย
ประวัติการบุกรุกที่เป็นข่าวดัง
ในช่วงปลายปี 2022 ผู้เชี่ยวชาญด้านความปลอดภัยได้ให้รายละเอียดเกี่ยวกับการโจมตีของ Lotus Panda ต่อหน่วยงานรับรองใบรับรองดิจิทัล รวมถึงหน่วยงานของรัฐบาลและกระทรวงกลาโหมทั่วเอเชีย ปฏิบัติการเหล่านี้เกี่ยวข้องกับการใช้งานแบ็คดอร์ที่ซับซ้อน เช่น Hannotog และ Sagerunex ซึ่งเน้นย้ำถึงความสามารถของกลุ่มในการเจาะระบบสถาบันที่สำคัญ
จุดเข้าที่ไม่ชัดเจนแต่มีวิธีการโจมตีที่คุ้นเคย
วิธีการที่ชัดเจนที่ Lotus Panda ใช้เพื่อเจาะเข้าเป้าหมายล่าสุดนั้นยังไม่เป็นที่ทราบแน่ชัด อย่างไรก็ตาม กลุ่มนี้มีประวัติการใช้การโจมตีแบบ Watering Hole และ Spear-Phishing เพื่อเข้าถึงข้อมูลเบื้องต้น เมื่อเข้าไปข้างในแล้ว ผู้โจมตีจะใช้แบ็คดอร์ Sagerunex ซึ่งเชื่อกันว่าเป็นวิวัฒนาการของมัลแวร์รุ่นเก่าที่รู้จักกันในชื่อ Evora
กลยุทธ์หลบเลี่ยง: การใช้ประโยชน์จากบริการที่ถูกกฎหมาย
กิจกรรมล่าสุดที่เชื่อมโยงกับ Lotus Panda ได้เปิดเผย Sagerunex เวอร์ชัน 'เบตา' ใหม่ 2 เวอร์ชัน ซึ่งระบุได้จากสตริงดีบักในโค้ดต้นฉบับ เวอร์ชันเหล่านี้ใช้บริการที่ถูกต้องตามกฎหมายอย่างชาญฉลาด เช่น Dropbox, X (รู้จักกันดีในชื่อ Twitter) และ Zimbra เป็นช่องทางการสั่งการและควบคุม (C2) ทำให้การตรวจจับทำได้ยากขึ้น
ความสามารถขั้นสูงของแบ็คดอร์
แบ็คดอร์ Sagerunex ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลโดยละเอียดเกี่ยวกับเครื่องที่ติดไวรัส เข้ารหัสข้อมูล และแยกข้อมูลไปยังเซิร์ฟเวอร์ระยะไกลที่ผู้โจมตีควบคุม รายงานระบุว่า Dropbox และ X ถูกใช้ระหว่างปี 2018 ถึง 2022 ในขณะที่ Zimbra ใช้งานได้ตั้งแต่ปี 2019
Zimbra Webmail Variant: ศูนย์ควบคุมที่ปกปิด
Sagerunex ซึ่งเป็นโปรแกรม Zimbra webmail นั้นมีความสามารถในการรวบรวมข้อมูลได้มากกว่าแค่การรวบรวมข้อมูลทั่วไป โดยโปรแกรมดังกล่าวจะช่วยให้ผู้โจมตีสามารถส่งคำสั่งผ่านเนื้อหาอีเมลของ Zimbra ได้ ซึ่งจะช่วยควบคุมเครื่องที่ถูกบุกรุกได้อย่างมีประสิทธิภาพ หากตรวจพบคำสั่งที่ถูกต้องในอีเมล แบ็กดอร์จะดึงข้อมูลและดำเนินการ มิฉะนั้น มัลแวร์จะลบอีเมลและรอคำสั่งเพิ่มเติม ผลลัพธ์ของคำสั่งที่ดำเนินการจะถูกจัดกลุ่มเป็นไฟล์ RAR และจัดเก็บในโฟลเดอร์ร่างและถังขยะของกล่องจดหมาย
คลังอาวุธเต็มรูปแบบ: เครื่องมือเพิ่มเติมในการเล่น
Lotus Panda ไม่ได้พึ่งพา Sagerunex เพียงอย่างเดียว กลุ่มนี้ยังได้นำเครื่องมือเพิ่มเติมมาใช้งานด้วย ได้แก่:
- โปรแกรมขโมยคุกกี้เพื่อรวบรวมข้อมูลประจำตัวเบราว์เซอร์ Chrome
- Venom เป็นยูทิลิตี้พร็อกซีโอเพ่นซอร์ส
- เครื่องมือเพิ่มสิทธิ์เพื่อให้สามารถเข้าถึงระบบในระดับที่สูงขึ้น
- ซอฟต์แวร์ที่กำหนดเองสำหรับการบีบอัดและเข้ารหัสข้อมูลที่รวบรวม
การสำรวจเครือข่ายและการหลีกเลี่ยงข้อจำกัด
พบว่าผู้โจมตีใช้คำสั่งลาดตระเวน เช่น net, tasklist, ipconfig และ netstat เพื่อประเมินสภาพแวดล้อมเป้าหมาย นอกจากนี้ ผู้โจมตียังตรวจสอบการเชื่อมต่ออินเทอร์เน็ตโดยปรับวิธีการตามข้อจำกัดของเครือข่าย หากการเข้าถึงถูกจำกัด พวกเขาจะพยายาม:
- ใช้การตั้งค่าพร็อกซีของเหยื่อเพื่อสร้างการเชื่อมต่อ
- ใช้เครื่องมือพร็อกซี Venom เพื่อเชื่อมโยงเครื่องที่แยกไว้กับระบบที่สามารถเข้าถึงอินเทอร์เน็ตได้
ภัยคุกคามที่ยังคงดำเนินอยู่
วิวัฒนาการอย่างต่อเนื่องและกลยุทธ์ที่ซับซ้อนของ Lotus Panda แสดงให้เห็นว่ายังคงเป็นภัยคุกคามทางไซเบอร์ที่สำคัญ ความสามารถในการปรับตัว ใช้บริการที่ถูกต้องตามกฎหมายเพื่อหลบซ่อน และดำเนินการจารกรรมระยะยาว ทำให้เป็นศัตรูที่น่าเกรงขามสำหรับองค์กรต่างๆ ในภูมิภาคเอเชียแปซิฟิกและภูมิภาคอื่นๆ
