Варіанти шкідливих програм Sagerunex
Відомий загрозливий актор, відомий як Lotus Panda, був помічений під час кібератак на урядові, виробничі, телекомунікаційні та медіа-сектори на Філіппінах, у В’єтнамі, Гонконзі та Тайвані. Ці атаки стосуються оновлених версій бекдора Sagerunex , різновиду зловмисного програмного забезпечення, яке Lotus Panda використовує принаймні з 2016 року. Група APT (Advanced Persistent Threat) продовжує вдосконалювати свою тактику, використовуючи довгострокові постійні командні оболонки та розробляючи нові варіанти свого арсеналу шкідливих програм.
Зміст
Добре відоме ім’я в кібершпигунстві
Lotus Panda, також відомий як Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon і Thrip , є підозрюваною китайською хакерською групою, яка працює щонайменше з 2009 року. Дослідники кібербезпеки вперше публічно викрили її діяльність у червні 2018 року, пов’язавши групу з низкою кампаній кібершпигунства по всій Азії.
Історія резонансних вторгнень
Наприкінці 2022 року експерти з безпеки детально описали атаку Lotus Panda на центр цифрових сертифікатів, а також на урядові та оборонні установи по всій Азії. Ці операції включали розгортання складних бекдорів, таких як Hannotog і Sagerunex, що підкреслювало здатність групи скомпрометувати критично важливі установи.
Незрозумілі точки входу, але знайомі методи атаки
Точний метод, використаний Lotus Panda для поразки останніх цілей, залишається невідомим. Однак група має історію використання атак із застосуванням гілок і фішингових атак, щоб отримати початковий доступ. Опинившись усередині, зловмисники розгортають бекдор Sagerunex, який, як вважають, є еволюцією старішого варіанту зловмисного програмного забезпечення, відомого як Evora .
Тактика ухилення: використання законних послуг
Нещодавня діяльність, пов’язана з Lotus Panda, показала два нових «бета-версії» Sagerunex, визначені рядками налагодження у вихідному коді. Ці версії вміло використовують законні служби, такі як Dropbox, X (більш відомий як Twitter) і Zimbra як канали командування та контролю (C2), що ускладнює виявлення.
Розширені можливості бекдору
Бекдор Sagerunex призначений для збору детальної інформації про заражені машини, шифрування та передачі на віддалений сервер, контрольований зловмисниками. Повідомляється, що варіанти Dropbox і X використовувалися між 2018 і 2022 роками, тоді як версія Zimbra працює з 2019 року.
Варіант веб-пошти Zimbra: прихований центр керування
Варіант веб-пошти Zimbra Sagerunex виходить за рамки простого збору даних. Це дозволяє зловмисникам надсилати команди через вміст електронної пошти Zimbra, ефективно контролюючи скомпрометовані машини. Якщо в електронному листі виявлено законну команду, бекдор витягує та виконує її. В іншому випадку зловмисне програмне забезпечення видаляє електронний лист і чекає подальших інструкцій. Результати виконаних команд упаковуються у вигляді архівів RAR і зберігаються в папках чернеток і кошика поштової скриньки.
Повний арсенал: додаткові інструменти в Play
Lotus Panda не покладається лише на Sagerunex. Група розгортає додаткові інструменти, зокрема:
- Викрадач файлів cookie для збирання облікових даних браузера Chrome.
- Venom, проксі-утиліта з відкритим кодом.
- Інструмент підвищення привілеїв для отримання вищого рівня доступу до системи.
- Спеціальне програмне забезпечення для стиснення та шифрування зібраних даних.
Розвідка мережі та обхід обмежень
Помічено, що зловмисники запускають розвідувальні команди, такі як net, tasklist, ipconfig і netstat, щоб оцінити цільове середовище. Крім того, вони перевіряють підключення до Інтернету, коригуючи свій підхід на основі мережевих обмежень. Якщо доступ обмежений, вони намагаються:
- Використовуйте налаштування проксі жертви, щоб встановити з'єднання.
- Розгорніть проксі-інструмент Venom, щоб підключити ізольовані машини до систем, доступних через Інтернет.
Постійна загроза
Постійний розвиток і складна тактика Lotus Panda вказують на те, що вона залишається значною кіберзагрозою. Його здатність адаптуватися, використовувати легітимні послуги для скритності та виконувати довгострокові шпигунські операції робить його грізним супротивником для організацій в Азіатсько-Тихоокеанському регіоні та за його межами.
