Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Mối đe dọa dai dẳng nâng cao (APT) Các biến thể phần mềm độc hại Sagerunex

Các biến thể phần mềm độc hại Sagerunex

Đến năm Mezo năm Mối đe dọa dai dẳng nâng cao (APT), Cửa sau
Dịch sang:
Tiếng Việt Nam

Kẻ đe dọa khét tiếng được biết đến với cái tên Lotus Panda đã được phát hiện đang phát động các cuộc tấn công mạng vào các lĩnh vực chính phủ, sản xuất, viễn thông và truyền thông tại Philippines, Việt Nam, Hồng Kông và Đài Loan. Các cuộc tấn công này liên quan đến các phiên bản cập nhật của cửa hậu Sagerunex , một chủng phần mềm độc hại mà Lotus Panda đã tận dụng kể từ ít nhất năm 2016. Nhóm APT (Mối đe dọa dai dẳng nâng cao) tiếp tục tinh chỉnh các chiến thuật của mình, sử dụng các shell lệnh dai dẳng dài hạn và phát triển các biến thể mới của kho vũ khí phần mềm độc hại của mình.

Một cái tên nổi tiếng trong hoạt động gián điệp mạng

Lotus Panda, còn được gọi là Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon và Thrip , là một nhóm tin tặc Trung Quốc bị tình nghi hoạt động từ ít nhất năm 2009. Các nhà nghiên cứu an ninh mạng lần đầu tiên vạch trần hoạt động của nhóm này vào tháng 6 năm 2018, liên kết nhóm này với một loạt các chiến dịch gián điệp mạng trên khắp châu Á.

Lịch sử của các cuộc xâm nhập cấp cao

Vào cuối năm 2022, các chuyên gia bảo mật đã nêu chi tiết về cuộc tấn công của Lotus Panda vào một cơ quan cấp chứng chỉ số, cũng như các cơ quan chính phủ và quốc phòng trên khắp Châu Á. Các hoạt động này liên quan đến việc triển khai các cửa hậu tinh vi như Hannotog và Sagerunex, nhấn mạnh khả năng xâm phạm các tổ chức quan trọng của nhóm này.

Điểm vào không rõ ràng nhưng phương pháp tấn công quen thuộc

Phương pháp chính xác mà Lotus Panda sử dụng để xâm nhập các mục tiêu mới nhất của nó vẫn chưa được biết. Tuy nhiên, nhóm này có tiền sử sử dụng các cuộc tấn công watering hole và spear-phishing để có được quyền truy cập ban đầu. Khi đã vào bên trong, những kẻ tấn công triển khai backdoor Sagerunex, được cho là một sự tiến hóa của một biến thể phần mềm độc hại cũ hơn được gọi là Evora .

Chiến thuật trốn tránh: Khai thác các dịch vụ hợp pháp

Hoạt động gần đây liên quan đến Lotus Panda đã tiết lộ hai biến thể 'beta' mới của Sagerunex, được xác định bằng chuỗi gỡ lỗi trong mã nguồn của chúng. Các phiên bản này khéo léo sử dụng các dịch vụ hợp pháp như Dropbox, X (hay còn gọi là Twitter) và Zimbra làm kênh Chỉ huy và Kiểm soát (C2), khiến việc phát hiện trở nên khó khăn hơn.

Khả năng Backdoor nâng cao

Backdoor Sagerunex được thiết kế để thu thập thông tin chi tiết về các máy bị nhiễm, mã hóa thông tin đó và chuyển thông tin đó đến một máy chủ từ xa do kẻ tấn công kiểm soát. Các biến thể Dropbox và X được báo cáo là đã được sử dụng từ năm 2018 đến năm 2022, trong khi phiên bản Zimbra đã hoạt động từ năm 2019.

Biến thể Webmail Zimbra: Một trung tâm kiểm soát bí mật

Biến thể webmail Zimbra của Sagerunex vượt xa việc thu thập dữ liệu đơn giản. Nó cho phép kẻ tấn công gửi lệnh qua nội dung thư Zimbra, kiểm soát hiệu quả các máy bị xâm nhập. Nếu phát hiện lệnh hợp lệ trong email, cửa hậu sẽ trích xuất và thực thi lệnh đó. Nếu không, phần mềm độc hại sẽ xóa email và chờ hướng dẫn tiếp theo. Kết quả của các lệnh đã thực thi được đóng gói dưới dạng tệp lưu trữ RAR và được lưu trữ trong thư mục bản nháp và thư mục rác của hộp thư.

Một kho vũ khí đầy đủ: Các công cụ bổ sung trong trò chơi

Lotus Panda không chỉ dựa vào Sagerunex. Nhóm triển khai các công cụ bổ sung, bao gồm:

  • Một công cụ đánh cắp cookie để thu thập thông tin đăng nhập của trình duyệt Chrome.
  • Venom, một tiện ích proxy mã nguồn mở.
  • Một công cụ nâng cao đặc quyền để có quyền truy cập hệ thống cao hơn.
  • Phần mềm tùy chỉnh để nén và mã hóa dữ liệu đã thu thập.

Do thám mạng và bỏ qua các hạn chế

Những kẻ tấn công đã được quan sát thấy đang chạy các lệnh trinh sát như net, tasklist, ipconfig và netstat để đánh giá môi trường mục tiêu. Ngoài ra, chúng kiểm tra kết nối Internet, điều chỉnh cách tiếp cận của chúng dựa trên các hạn chế mạng. Nếu quyền truy cập bị hạn chế, chúng sẽ cố gắng:

  • Sử dụng cài đặt proxy của nạn nhân để thiết lập kết nối.
  • Triển khai công cụ proxy Venom để liên kết các máy bị cô lập với các hệ thống có thể truy cập internet.

Một mối đe dọa đang diễn ra

Sự tiến hóa liên tục và các chiến thuật tinh vi của Lotus Panda cho thấy nó vẫn là một mối đe dọa mạng đáng kể. Khả năng thích ứng, tận dụng các dịch vụ hợp pháp để ẩn mình và thực hiện các hoạt động gián điệp dài hạn khiến nó trở thành đối thủ đáng gờm đối với các tổ chức trong khu vực Châu Á - Thái Bình Dương và xa hơn nữa.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
24,920
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...