Lotus Panda: новые Sagerunex-угрозы для правительств и отраслей

Группа Lotus Panda, известная также как Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip, подозревается в китайском происхождении и действует с 2009 года. Первое раскрытие их активности датируется июнем 2018 года, а исследования Cisco Talos, в том числе работы Joey Chen, подтверждают долгую историю эксплуатации Sagerunex, которую Lotus Blossom использует начиная с 2016 года.
Lotus Panda: новые Sagerunex-угрозы для правительств и отраслей
Изображение носит иллюстративный характер

Атакующие нацеливаются на государственные учреждения, производственные предприятия, организации в сфере телекоммуникаций и медиа. Регионы, подвергающиеся атакам, включают Филиппины, Вьетнам, Гонконг и Тайвань, что свидетельствует о широком географическом охвате угроз.

Малварная семейство Sagerunex представляет собой известный бэкдор, эволюционировавший из более раннего Billbug-варианта под названием Evora. Новейшие разработки включают два «бета»-варианта, в исходном коде которых присутствуют отладочные строки. Эти варианты используют легитимные сервисы, такие как Dropbox, платформа X и Zimbra, для организации туннелей командно-контрольного канала.

Версии, использующие Dropbox и X, находятся в эксплуатации в период с 2018 по 2022 год, тогда как вариант через Zimbra активен с 2019 года. В Zimbra-версии бэкдор собирает информацию о целевой системе, шифрует данные и отправляет их на удалённый сервер, контролируемый злоумышленниками. При наличии корректного содержимого в почтовом сообщении команда скачивается, извлекается и выполняется; в случае отсутствия команды содержимое удаляется, а затем результаты выполнения упаковываются в архив RAR и прикрепляются к черновикам и папке мусора почтового ящика.

В дополнение к основному бэкдору, атакующие применяют Cookie Stealer для кражи учетных данных браузера Chrome, открытый прокси-инструмент Venom, программы для регулирования привилегий и специализированное ПО для сжатия и шифрования полученных данных. При разведке выполняются команды net, tasklist, ipconfig и netstat, а также проводится проверка наличия интернет-доступа.

При ограниченном доступе к сети злоумышленники используют настройки прокси целевой системы или задействуют утилиту Venom для подключения изолированных устройств к внешним системам, что позволяет сохранять контроль над атакуемыми узлами даже в условиях сетевой изоляции.

В конце 2022 года данные Broadcom-управляемой Symantec зафиксировали атаки на цифровой центр сертификации, а также на государственные и оборонные организации азиатских стран. В этих инцидентах использовались бэкдоры Hannotog и Sagerunex, что подчеркивает эволюцию и многоаспектность методов эксплуатации киберинфраструктуры.

Детальный технический анализ методов группы Lotus Panda демонстрирует высокую степень интеграции легитимных сервисов с собственными инструментами, позволяющую эффективно обходить традиционные меры безопасности и усложнять процедуры выявления угроз.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка