Sagerunex 恶意软件变种
据观察,臭名昭著的威胁行为者 Lotus Panda 正在对菲律宾、越南、香港和台湾的政府、制造业、电信和媒体部门发动网络攻击。这些攻击涉及Sagerunex后门的更新版本,Lotus Panda 自 2016 年以来一直在利用这种恶意软件。APT(高级持续性威胁)组织继续完善其策略,采用长期持续的命令 shell 并开发其恶意软件库的新变种。
目录
网络间谍界的一个著名人物
Lotus Panda,又名 Billbug、Bronze Elgin、Lotus Blossom、Spring Dragon 和Thrip ,是一个疑似中国黑客组织,至少自 2009 年以来一直活跃。网络安全研究人员于 2018 年 6 月首次公开曝光其行动,并称该组织与亚洲各地的一系列网络间谍活动有关。
高调入侵的历史
2022 年底,安全专家详细介绍了 Lotus Panda 对数字证书颁发机构以及亚洲各地政府和国防机构的攻击。这些行动涉及部署Hannotog和 Sagerunex 等复杂后门,凸显了该组织入侵关键机构的能力。
切入点不明确但攻击方法熟悉
Lotus Panda 入侵最新目标的具体方法尚不清楚。不过,该组织曾使用水坑和鱼叉式网络钓鱼攻击来获取初始访问权限。一旦进入,攻击者就会部署 Sagerunex 后门,据信这是较旧的恶意软件变体Evora的演变。
规避策略:利用合法服务
最近与 Lotus Panda 相关的活动揭示了 Sagerunex 的两个新“测试版”变体,可通过源代码中的调试字符串识别。这些版本巧妙地使用合法服务(例如 Dropbox、X(更广为人知的名字是 Twitter)和 Zimbra)作为命令和控制 (C2) 渠道,使检测更具挑战性。
高级后门功能
Sagerunex 后门旨在收集有关受感染机器的详细信息,对其进行加密,并将其泄露到攻击者控制的远程服务器。据报道,Dropbox 和 X 变体在 2018 年至 2022 年期间被使用,而 Zimbra 版本自 2019 年以来一直在运行。
Zimbra Webmail 变体:隐蔽的控制中心
Sagerunex 的 Zimbra 网络邮件变体不仅仅是简单的数据收集。它使攻击者能够通过 Zimbra 邮件内容发送命令,从而有效地控制受感染的机器。如果在电子邮件中检测到合法命令,后门就会提取并执行该命令。否则,恶意软件会删除电子邮件并等待进一步的指示。执行命令的结果被打包为 RAR 存档并存储在邮箱的草稿和垃圾文件夹中。
完整的武器库:正在使用的附加工具
Lotus Panda 不仅仅依赖 Sagerunex。该组织还部署了其他工具,包括:
- 一个用于获取 Chrome 浏览器凭证的 cookie 窃取程序。
- Venom,一个开源代理实用程序。
- 用于获取更高系统访问权限的权限提升工具。
- 用于压缩和加密收集的数据的定制软件。
网络侦察和绕过限制
据观察,攻击者会运行侦察命令(如 net、tasklist、ipconfig 和 netstat)来评估目标环境。此外,他们还会检查互联网连接情况,并根据网络限制调整攻击方法。如果访问受限,他们会尝试:
- 使用受害者的代理设置建立连接。
- 部署 Venom 代理工具将隔离的机器链接到可访问互联网的系统。
持续的威胁
Lotus Panda 的持续发展和复杂策略表明,它仍然是一个重大的网络威胁。它的适应能力、利用合法服务进行隐身攻击和执行长期间谍活动的能力使其成为亚太地区及其他地区组织的强大对手。
