Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) Sagerunex Kötü Amaçlı Yazılım Çeşitleri

Sagerunex Kötü Amaçlı Yazılım Çeşitleri

Mezo'de Gelişmiş Sürekli Tehdit (APT), Arka kapılar'de
Çevir:
Türkçe

Lotus Panda olarak bilinen kötü şöhretli tehdit aktörü, Filipinler, Vietnam, Hong Kong ve Tayvan'daki hükümet, üretim, telekomünikasyon ve medya sektörlerine siber saldırılar başlatırken gözlemlendi. Bu saldırılar, Lotus Panda'nın en az 2016'dan beri kullandığı bir kötü amaçlı yazılım türü olan Sagerunex arka kapısının güncellenmiş sürümlerini içeriyor. APT (Gelişmiş Kalıcı Tehdit) grubu, uzun vadeli kalıcı komut kabukları kullanarak ve kötü amaçlı yazılım cephaneliğinin yeni varyantlarını geliştirerek taktiklerini geliştirmeye devam ediyor.

Siber Casuslukta Tanınmış Bir İsim

Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon ve Thrip olarak da bilinen Lotus Panda, en az 2009'dan beri faaliyet gösteren şüpheli bir Çinli bilgisayar korsanlığı kolektifidir. Siber güvenlik araştırmacıları, grubun faaliyetlerini ilk olarak Haziran 2018'de kamuoyuna ifşa ederek, grubu Asya genelindeki bir dizi siber casusluk kampanyasıyla ilişkilendirdi.

Üst Düzey Tecavüzlerin Tarihi

2022'nin sonlarında, güvenlik uzmanları Lotus Panda'nın Asya genelindeki bir dijital sertifika otoritesine ve hükümet ve savunma kurumlarına yönelik saldırısını ayrıntılı olarak anlattı. Bu operasyonlar, Hannotog ve Sagerunex gibi karmaşık arka kapıların konuşlandırılmasını içeriyordu ve grubun kritik kurumları tehlikeye atma yeteneğini vurguluyordu.

Belirsiz Giriş Noktaları Ama Tanıdık Saldırı Yöntemleri

Lotus Panda'nın son hedeflerine ulaşmak için kullandığı kesin yöntem hala bilinmiyor. Ancak, grubun ilk erişimi elde etmek için sulama deliği ve mızraklı kimlik avı saldırıları kullanma geçmişi var. İçeri girdikten sonra, saldırganlar Evora olarak bilinen eski bir kötü amaçlı yazılım türünün evrimi olduğuna inanılan Sagerunex arka kapısını devreye sokuyor.

Kaçamak Taktikler: Meşru Hizmetlerin İstismarı

Lotus Panda ile bağlantılı son aktivite, kaynak kodlarındaki hata ayıklama dizeleriyle tanımlanan iki yeni 'beta' Sagerunex çeşidini ortaya çıkardı. Bu sürümler Dropbox, X (daha iyi bilinen adıyla Twitter) ve Zimbra gibi meşru hizmetleri Komut ve Kontrol (C2) kanalları olarak akıllıca kullanarak tespiti daha zor hale getiriyor.

Gelişmiş Arka Kapı Yetenekleri

Sagerunex arka kapısı, enfekte olmuş makineler hakkında ayrıntılı bilgi toplamak, bunları şifrelemek ve saldırganların kontrol ettiği uzak bir sunucuya sızdırmak için tasarlanmıştır. Dropbox ve X varyantlarının 2018 ile 2022 arasında kullanıldığı bildirilirken, Zimbra sürümü 2019'dan beri faaliyettedir.

Zimbra Webmail Varyantı: Gizli Bir Kontrol Merkezi

Sagerunex'in Zimbra webmail çeşidi basit veri toplamanın ötesine geçer. Saldırganların Zimbra mail içeriği üzerinden komut göndermesini ve tehlikeye atılmış makineleri etkili bir şekilde kontrol etmesini sağlar. Bir e-postada meşru bir komut tespit edilirse, arka kapı onu çıkarır ve yürütür. Aksi takdirde, kötü amaçlı yazılım e-postayı siler ve daha fazla talimat bekler. Yürütülen komutların sonuçları RAR arşivleri olarak paketlenir ve posta kutusunun taslak ve çöp klasörlerinde saklanır.

Tam Bir Cephanelik: Oyundaki Ek Araçlar

Lotus Panda yalnızca Sagerunex'e dayanmıyor. Grup, şunlar da dahil olmak üzere ek araçlar kullanıyor:

  • Chrome tarayıcınızın kimlik bilgilerini toplamak için bir çerez hırsızı.
  • Venom, açık kaynaklı bir proxy aracıdır.
  • Daha yüksek sistem erişimi elde etmek için bir ayrıcalık yükseltme aracı.
  • Toplanan verilerin sıkıştırılması ve şifrelenmesi için özel yazılım.

Ağ Keşfi ve Kısıtlamaları Aşma

Saldırganların hedef ortamı değerlendirmek için net, tasklist, ipconfig ve netstat gibi keşif komutlarını çalıştırdıkları gözlemlendi. Ayrıca, İnternet bağlantısını kontrol ederek yaklaşımlarını ağ kısıtlamalarına göre ayarlıyorlar. Erişim sınırlıysa, şunları yapmaya çalışıyorlar:

  • Kurbanın proxy ayarlarını kullanarak bağlantı kurun.
  • İzole edilmiş makineleri internete erişilebilen sistemlere bağlamak için Venom proxy aracını kullanın.

Süregelen Bir Tehdit

Lotus Panda'nın devam eden evrimi ve karmaşık taktikleri, önemli bir siber tehdit olmaya devam ettiğini gösteriyor. Uyum sağlama, gizlilik için meşru hizmetleri kullanma ve uzun vadeli casusluk operasyonları yürütme yeteneği, onu Asya-Pasifik bölgesi ve ötesindeki kuruluşlar için zorlu bir rakip haline getiriyor.

trend

En çok görüntülenen

Yükleniyor...