Sagerunex 惡意軟體變種

臭名昭著的威脅行為者「Lotus Panda」被發現對菲律賓、越南、香港和台灣的政府、製造業、電信和媒體部門發動網路攻擊。這些攻擊涉及Sagerunex後門的更新版本，這是 Lotus Panda 自至少 2016 年以來一直在利用的惡意軟體。

網路間諜界的著名人物

Lotus Panda，又名 Billbug、Bronze Elgin、Lotus Blossom、Spring Dragon 和Thrip ，是一個疑似中國駭客組織，至少自 2009 年以來一直活躍。

高調入侵的歷史

2022 年末，安全專家詳細介紹了 Lotus Panda 對數位憑證授權單位以及亞洲各地政府和國防機構的攻擊。這些行動涉及部署Hannotog和 Sagerunex 等複雜後門，凸顯了該組織破壞關鍵機構的能力。

切入點不明確但攻擊方法熟悉

Lotus Panda 攻擊其最新目標的具體方法仍不得而知。然而，該組織曾利用水坑攻擊和魚叉式網路釣魚攻擊來獲取初始存取權限。一旦進入系統，攻擊者就會部署 Sagerunex 後門，該後門被認為是較舊的惡意軟體變種Evora的演進。

規避策略：利用合法服務

最近與 Lotus Panda 相關的活動揭示了 Sagerunex 的兩個新「測試版」變體，可透過其原始程式碼中的偵錯字串進行識別。這些版本巧妙地使用 Dropbox、X（更為人所知的是 Twitter）和 Zimbra 等合法服務作為命令和控制 (C2) 通道，使檢測更具挑戰性。

進階後門功能

Sagerunex 後門旨在收集有關受感染機器的詳細信息，對其進行加密，並將其洩露到攻擊者控制的遠端伺服器。據報道，Dropbox 和 X 變體在 2018 年至 2022 年期間投入使用，而 Zimbra 版本自 2019 年開始運作。

Zimbra Webmail 變體：隱藏的控制中心

Sagerunex 的 Zimbra 網路郵件變體不只是簡單的資料收集。它使攻擊者能夠透過 Zimbra 郵件內容發送命令，有效控制受感染的機器。如果在電子郵件中偵測到合法命令，後門就會提取並執行該命令。否則，惡意軟體會刪除電子郵件並等待進一步的指示。執行命令的結果被打包為 RAR 存檔並儲存在郵箱的草稿和垃圾箱資料夾中。

完整的武器庫：正在使用的附加工具

Lotus Panda 並非完全依賴 Sagerunex。該小組部署了其他工具，包括：

• 一個用於取得 Chrome 瀏覽器憑證的 cookie 竊取程式。
• Venom，一個開源代理實用程式。
• 用於取得更高系統存取權限的權限提升工具。
• 用於壓縮和加密收集的資料的客製化軟體。

網路偵察和繞過限制

據觀察，攻擊者會執行 net、tasklist、ipconfig 和 netstat 等偵察指令來評估目標環境。此外，他們還會檢查互聯網連接，並根據網路限制調整方法。如果訪問受限，他們會嘗試：

• 使用受害者的代理設定建立連線。
• 部署 Venom 代理工具將隔離的機器連結到可存取網際網路的系統。

持續的威脅

Lotus Panda 的持續演變和複雜策略表明，它仍然是一個重大的網路威脅。它的適應能力、利用合法服務進行隱身攻擊的能力以及執行長期間諜行動的能力使其成為亞太地區及其他地區組織的強大對手。