С августа 2024 по февраль 2025 года киберпреступная группа, связанная с Китаем и известная под именем Lotus Panda, реализует масштабную кампанию шпионажа в нескольких странах Юго-Восточной Азии. Основными целями атак стали государственные органы, авиадиспетчерские службы, телекоммуникационные операторы и строительные компании, а также новостные и грузоперевозочные организации из соседних регионов.
Lotus Panda действует с 2009 года, специализируясь на атаках против правительств и военных структур Юго-Восточной Азии. Ранее, в июне 2015 года, группа проводила целевые фишинговые кампании, в том числе успешно атаковала сотрудника Министерства иностранных дел Франции в Тайване через уязвимость Microsoft Office CVE-2012-0158, используя вредоносный бэкдор Elise (известный также как Trensil). Для распространения трояна Emissary применялся баг MS Windows OLE CVE-2014-6332. Другие исследовательские группы называли эту угрозу Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip.
В рассматриваемый период Lotus Panda распространила обновлённый бэкдор Sagerunex — уникальное для группы вредоносное ПО, способное собирать сведения о заражённом устройстве, шифровать данные и обеспечивать их удалённую эксфильтрацию. Атаки сопровождаются применением двух новых крадущих данные из браузера Google Chrome стилеров под названиями ChromeKatz и CredentialKatz, которые похищают пароли и файлы cookie.
Зона поражения охватывает Филиппины, Вьетнам, Гонконг и Тайвань, об этом сообщают специалисты Cisco Talos. Среди жертв – министерства иностранных дел, операторы авиадиспетчерского контроля, телекоммуникационные компании и представители строительного сектора в этих странах.
Для распространения вредоносных модулей злоумышленники используют технику sideloading, при которой легитимное программное обеспечение служит для загрузки зловредных библиотек DLL. В частности, применяется исполняемый файл _tmdbglog.exe_ компании Trend Micro для загрузки вредоносных DLL-загрузчиков. Кроме того, найден нестандартный sideload, использующий _bds.exe_ компании Bitdefender, назначение которого пока неизвестно.
Дополнительно в арсенале Lotus Panda находятся инструменты удалённого управления: обратный SSH-туннель для дистанционного контроля, P2P-утилита Zrok для совместного использования сетевых сервисов, а также файл _datechanger.exe_, предназначенный для подмены временных меток файлов с целью затруднения расследований инцидентов.
Первые точки входа во взломанные инфраструктуры пока не установлены, что усложняет выявление и своевременное отражение атак. Исследования проводились группой Symantec Threat Hunter, Broadcom, Cisco Talos и Palo Alto Networks.
Продолжающаяся кампания Lotus Panda демонстрирует эволюцию методов кибершпионажа с применением комплексных, кастомизированных инструментов и инсайдерских техник, направленных на правительственные и критические отраслевые объекты Юго-Восточной Азии. Эта активность подтверждает, что угроза со стороны продвинутых постоянных группировок остаётся серьёзной и требует повешенного внимания со стороны специалистов по кибербезопасности.
Изображение носит иллюстративный характер
Lotus Panda действует с 2009 года, специализируясь на атаках против правительств и военных структур Юго-Восточной Азии. Ранее, в июне 2015 года, группа проводила целевые фишинговые кампании, в том числе успешно атаковала сотрудника Министерства иностранных дел Франции в Тайване через уязвимость Microsoft Office CVE-2012-0158, используя вредоносный бэкдор Elise (известный также как Trensil). Для распространения трояна Emissary применялся баг MS Windows OLE CVE-2014-6332. Другие исследовательские группы называли эту угрозу Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip.
В рассматриваемый период Lotus Panda распространила обновлённый бэкдор Sagerunex — уникальное для группы вредоносное ПО, способное собирать сведения о заражённом устройстве, шифровать данные и обеспечивать их удалённую эксфильтрацию. Атаки сопровождаются применением двух новых крадущих данные из браузера Google Chrome стилеров под названиями ChromeKatz и CredentialKatz, которые похищают пароли и файлы cookie.
Зона поражения охватывает Филиппины, Вьетнам, Гонконг и Тайвань, об этом сообщают специалисты Cisco Talos. Среди жертв – министерства иностранных дел, операторы авиадиспетчерского контроля, телекоммуникационные компании и представители строительного сектора в этих странах.
Для распространения вредоносных модулей злоумышленники используют технику sideloading, при которой легитимное программное обеспечение служит для загрузки зловредных библиотек DLL. В частности, применяется исполняемый файл _tmdbglog.exe_ компании Trend Micro для загрузки вредоносных DLL-загрузчиков. Кроме того, найден нестандартный sideload, использующий _bds.exe_ компании Bitdefender, назначение которого пока неизвестно.
Дополнительно в арсенале Lotus Panda находятся инструменты удалённого управления: обратный SSH-туннель для дистанционного контроля, P2P-утилита Zrok для совместного использования сетевых сервисов, а также файл _datechanger.exe_, предназначенный для подмены временных меток файлов с целью затруднения расследований инцидентов.
Первые точки входа во взломанные инфраструктуры пока не установлены, что усложняет выявление и своевременное отражение атак. Исследования проводились группой Symantec Threat Hunter, Broadcom, Cisco Talos и Palo Alto Networks.
Продолжающаяся кампания Lotus Panda демонстрирует эволюцию методов кибершпионажа с применением комплексных, кастомизированных инструментов и инсайдерских техник, направленных на правительственные и критические отраслевые объекты Юго-Восточной Азии. Эта активность подтверждает, что угроза со стороны продвинутых постоянных группировок остаётся серьёзной и требует повешенного внимания со стороны специалистов по кибербезопасности.
