Multi-License Discount Quote
Banta sa Database Advanced Persistent Threat (APT) Mga Variant ng Sagerunex Malware

Mga Variant ng Sagerunex Malware

Sa pamamagitan ng Mezo sa Advanced Persistent Threat (APT), Mga backdoor
Isalin To:
Wikang Filipino

Ang kilalang banta na aktor na kilala bilang Lotus Panda ay naobserbahang naglulunsad ng cyberattacks sa mga sektor ng gobyerno, pagmamanupaktura, telekomunikasyon, at media sa Pilipinas, Vietnam, Hong Kong at Taiwan. Ang mga pag-atakeng ito ay nagsasangkot ng mga na-update na bersyon ng Sagerunex backdoor, isang malware strain na ginagamit ng Lotus Panda mula noong hindi bababa sa 2016. Ang grupong APT (Advanced Persistent Threat) ay patuloy na pinipino ang mga taktika nito, na gumagamit ng pangmatagalang persistent command shell at pagbuo ng mga bagong variant ng malware arsenal nito.

Isang Kilalang Pangalan sa Cyber Espionage

Ang Lotus Panda, na kilala rin bilang Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon, at Thrip , ay isang pinaghihinalaang Chinese hacking collective na naging aktibo mula pa noong 2009. Unang inilantad sa publiko ng mga mananaliksik ng Cybersecurity ang mga operasyon nito noong Hunyo 2018, na nag-uugnay sa grupo sa isang serye ng mga cyber espionage campaign sa buong Asia.

Isang Kasaysayan ng Mga Panghihimasok sa High-Profile

Noong huling bahagi ng 2022, idinetalye ng mga eksperto sa seguridad ang pag-atake ng Lotus Panda sa isang digital certificate authority, gayundin ang mga ahensya ng gobyerno at depensa sa buong Asia. Kasama sa mga operasyong ito ang pag-deploy ng mga sopistikadong backdoor gaya ng Hannotog at Sagerunex, na binibigyang-diin ang kakayahan ng grupo na ikompromiso ang mga kritikal na institusyon.

Hindi Malinaw na Entry Point ngunit Pamilyar na Paraan ng Pag-atake

Ang tumpak na paraan na ginamit ng Lotus Panda upang masira ang mga pinakabagong target nito ay nananatiling hindi alam. Gayunpaman, ang grupo ay may kasaysayan ng paggamit ng watering hole at spear-phishing na pag-atake upang makakuha ng paunang access. Kapag nasa loob na, itinalaga ng mga umaatake ang backdoor ng Sagerunex, na pinaniniwalaan na isang ebolusyon ng isang mas lumang variant ng malware na kilala bilang Evora .

Mga Taktika sa Pag-iwas: Pagsasamantala sa Mga Lehitimong Serbisyo

Ang kamakailang aktibidad na naka-link sa Lotus Panda ay nagsiwalat ng dalawang bagong 'beta' na variant ng Sagerunex, na kinilala sa pamamagitan ng mga debug string sa loob ng kanilang source code. Ang mga bersyon na ito ay matalinong gumagamit ng mga lehitimong serbisyo tulad ng Dropbox, X (mas kilala bilang Twitter), at Zimbra bilang Command-and-Control (C2) na mga channel, na ginagawang mas mahirap ang pagtuklas.

Advanced na Mga Kakayahang Backdoor

Ang Sagerunex backdoor ay idinisenyo upang mangolekta ng detalyadong impormasyon tungkol sa mga nahawaang makina, i-encrypt ito, at i-exfiltrate ito sa isang malayuang server na kinokontrol ng mga umaatake. Ang mga variant ng Dropbox at X ay naiulat na ginagamit sa pagitan ng 2018 at 2022, habang ang bersyon ng Zimbra ay gumagana mula noong 2019.

Zimbra Webmail Variant: Isang Covert Control Hub

Ang Zimbra webmail na variant ng Sagerunex ay higit pa sa simpleng pangongolekta ng data. Nagbibigay-daan ito sa mga attacker na magpadala ng mga command sa pamamagitan ng Zimbra mail content, na epektibong kinokontrol ang mga nakompromisong machine. Kung may nakitang lehitimong command sa isang email, kinukuha at ipapatupad ito ng backdoor. Kung hindi, tatanggalin ng malware ang email at maghihintay para sa karagdagang mga tagubilin. Ang mga resulta ng mga executed command ay naka-package bilang RAR archive at nakaimbak sa draft at trash folder ng mailbox.

Isang Buong Arsenal: Mga Karagdagang Tool sa Play

Ang Lotus Panda ay hindi umaasa lamang sa Sagerunex. Nag-deploy ang grupo ng mga karagdagang tool, kabilang ang:

  • Isang cookie stealer para kumuha ng mga kredensyal ng Chrome browser.
  • Venom, isang open-source proxy utility.
  • Isang tool sa pagpapataas ng pribilehiyo upang makakuha ng mas mataas na access sa system.
  • Custom na software para sa pag-compress at pag-encrypt ng nakolektang data.

Network Reconnaissance at Bypassing Restrictions

Ang mga umaatake ay naobserbahang nagpapatakbo ng mga reconnaissance command tulad ng net, tasklist, ipconfig, at netstat upang masuri ang target na kapaligiran. Bukod pa rito, sinusuri nila ang koneksyon sa Internet, inaayos ang kanilang diskarte batay sa mga paghihigpit sa network. Kung limitado ang access, sinusubukan nilang:

  • Gamitin ang mga setting ng proxy ng biktima upang magtatag ng koneksyon.
  • I-deploy ang Venom proxy tool upang i-link ang mga nakahiwalay na machine sa mga system na naa-access sa internet.

Isang Patuloy na Banta

Ang patuloy na ebolusyon ng Lotus Panda at mga sopistikadong taktika ay nagpapahiwatig na ito ay nananatiling isang makabuluhang banta sa cyber. Ang kakayahang umangkop, gumamit ng mga lehitimong serbisyo para sa palihim, at magsagawa ng mga pangmatagalang operasyon ng espiya ay ginagawa itong isang mabigat na kalaban para sa mga organisasyon sa rehiyon ng Asia-Pacific at higit pa.

Trending

Pinaka Nanood

Naglo-load...