Группа Lotus Panda, известная также как Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip, подозревается в китайском происхождении и действует с 2009 года. Первое раскрытие их активности датируется июнем 2018 года, а исследования Cisco Talos, в том числе работы Joey Chen, подтверждают долгую историю эксплуатации Sagerunex, которую Lotus Blossom использует начиная с 2016 года.
Атакующие нацеливаются на государственные учреждения, производственные предприятия, организации в сфере телекоммуникаций и медиа. Регионы, подвергающиеся атакам, включают Филиппины, Вьетнам, Гонконг и Тайвань, что свидетельствует о широком географическом охвате угроз.
Малварная семейство Sagerunex представляет собой известный бэкдор, эволюционировавший из более раннего Billbug-варианта под названием Evora. Новейшие разработки включают два «бета»-варианта, в исходном коде которых присутствуют отладочные строки. Эти варианты используют легитимные сервисы, такие как Dropbox, платформа X и Zimbra, для организации туннелей командно-контрольного канала.
Версии, использующие Dropbox и X, находятся в эксплуатации в период с 2018 по 2022 год, тогда как вариант через Zimbra активен с 2019 года. В Zimbra-версии бэкдор собирает информацию о целевой системе, шифрует данные и отправляет их на удалённый сервер, контролируемый злоумышленниками. При наличии корректного содержимого в почтовом сообщении команда скачивается, извлекается и выполняется; в случае отсутствия команды содержимое удаляется, а затем результаты выполнения упаковываются в архив RAR и прикрепляются к черновикам и папке мусора почтового ящика.
В дополнение к основному бэкдору, атакующие применяют Cookie Stealer для кражи учетных данных браузера Chrome, открытый прокси-инструмент Venom, программы для регулирования привилегий и специализированное ПО для сжатия и шифрования полученных данных. При разведке выполняются команды net, tasklist, ipconfig и netstat, а также проводится проверка наличия интернет-доступа.
При ограниченном доступе к сети злоумышленники используют настройки прокси целевой системы или задействуют утилиту Venom для подключения изолированных устройств к внешним системам, что позволяет сохранять контроль над атакуемыми узлами даже в условиях сетевой изоляции.
В конце 2022 года данные Broadcom-управляемой Symantec зафиксировали атаки на цифровой центр сертификации, а также на государственные и оборонные организации азиатских стран. В этих инцидентах использовались бэкдоры Hannotog и Sagerunex, что подчеркивает эволюцию и многоаспектность методов эксплуатации киберинфраструктуры.
Детальный технический анализ методов группы Lotus Panda демонстрирует высокую степень интеграции легитимных сервисов с собственными инструментами, позволяющую эффективно обходить традиционные меры безопасности и усложнять процедуры выявления угроз.
Изображение носит иллюстративный характер
Атакующие нацеливаются на государственные учреждения, производственные предприятия, организации в сфере телекоммуникаций и медиа. Регионы, подвергающиеся атакам, включают Филиппины, Вьетнам, Гонконг и Тайвань, что свидетельствует о широком географическом охвате угроз.
Малварная семейство Sagerunex представляет собой известный бэкдор, эволюционировавший из более раннего Billbug-варианта под названием Evora. Новейшие разработки включают два «бета»-варианта, в исходном коде которых присутствуют отладочные строки. Эти варианты используют легитимные сервисы, такие как Dropbox, платформа X и Zimbra, для организации туннелей командно-контрольного канала.
Версии, использующие Dropbox и X, находятся в эксплуатации в период с 2018 по 2022 год, тогда как вариант через Zimbra активен с 2019 года. В Zimbra-версии бэкдор собирает информацию о целевой системе, шифрует данные и отправляет их на удалённый сервер, контролируемый злоумышленниками. При наличии корректного содержимого в почтовом сообщении команда скачивается, извлекается и выполняется; в случае отсутствия команды содержимое удаляется, а затем результаты выполнения упаковываются в архив RAR и прикрепляются к черновикам и папке мусора почтового ящика.
В дополнение к основному бэкдору, атакующие применяют Cookie Stealer для кражи учетных данных браузера Chrome, открытый прокси-инструмент Venom, программы для регулирования привилегий и специализированное ПО для сжатия и шифрования полученных данных. При разведке выполняются команды net, tasklist, ipconfig и netstat, а также проводится проверка наличия интернет-доступа.
При ограниченном доступе к сети злоумышленники используют настройки прокси целевой системы или задействуют утилиту Venom для подключения изолированных устройств к внешним системам, что позволяет сохранять контроль над атакуемыми узлами даже в условиях сетевой изоляции.
В конце 2022 года данные Broadcom-управляемой Symantec зафиксировали атаки на цифровой центр сертификации, а также на государственные и оборонные организации азиатских стран. В этих инцидентах использовались бэкдоры Hannotog и Sagerunex, что подчеркивает эволюцию и многоаспектность методов эксплуатации киберинфраструктуры.
Детальный технический анализ методов группы Lotus Panda демонстрирует высокую степень интеграции легитимных сервисов с собственными инструментами, позволяющую эффективно обходить традиционные меры безопасности и усложнять процедуры выявления угроз.
