Tehdit oyuncusu olarak bilinen Lotus Panda Filipinler, Vietnam, Hong Kong ve Tayvan’daki hükümet, üretim, telekomünikasyon ve medya sektörlerini hedefleyen gözlendi.
Cisco Talos araştırmacısı Joey Chen, “Lotus Blossom, en az 2016’dan beri Sagerunex arka kapısını kullanıyor ve uzun vadeli kalıcılık komuta mermilerini kullanıyor ve Sagerunex kötü amaçlı yazılım süitinin yeni varyantlarını geliştiriyor.” söz konusu Geçen hafta yayınlanan bir analizde.
Billbug, Bronz Elgin, Lotus Blossom, Spring Dragon ve Thrip olarak da bilinen Lotus Panda, en azından 2009’dan beri aktif olan şüpheli bir Çin hack mürettebatı. Tehdit oyuncusu ilk maruz kalan Haziran 2018’de Symantec tarafından.
2022’nin sonlarında, Broadcom’a ait Symantec, tehdit oyuncunun bir dijital sertifika otoritesine yönelik saldırısını ve Asya’da farklı ülkelerde bulunan hükümet ve savunma ajanslarını Hannotog ve Sagerunex gibi arka planların kullanımını içeren detaylandırdı.
Mızrak-aktı ve sulama deliği saldırıları yapma geçmişine sahip olmasına rağmen, en son müdahale setindeki varlıkları ihlal etmek için kullanılan tam başlangıç erişim vektörü bilinmemektedir. Belirtilmemiş saldırı yolu, EVORA olarak bilinen eski bir Billbug kötü amaçlı yazılımın evrimi olarak değerlendirilen SagerUNex implantı için bir kanal görevi görür.
Etkinlik, tespitten kaçınmak için Dropbox, X ve Zimbra gibi meşru hizmetleri komut ve kontrol (C2) tünelleri olarak kullanan iki yeni “beta” varyantının kullanımı için dikkat çekicidir. Kaynak kodunda hata ayıklama dizelerinin varlığı nedeniyle sözde.
Arka kapı, hedef ana bilgisayar bilgilerini toplamak, şifrelemek ve ayrıntıları saldırganın kontrolü altındaki uzak bir sunucuya eklemek için tasarlanmıştır. Sagerunex’in Dropbox ve X versiyonlarının 2018 ve 2022 arasında kullanıldığına inanılırken, Zimbra versiyonunun 2019’dan beri var olduğu söyleniyor.
Chen, “SagerUNex’in Zimbra Webmail sürümü sadece kurban bilgilerini toplamak ve Zimbra posta kutusuna göndermek için değil, aynı zamanda aktörün sipariş vermek ve kurban makinesini kontrol etmek için Zimbra posta içeriği kullanmasına izin vermek için tasarlanmıştır.” Dedi.
“Posta kutusunda meşru bir komut sipariş içeriği varsa, arka kapı içeriği indirecek ve komutu çıkaracaktır, aksi takdirde arka kapı içeriği siler ve meşru bir komut bekler.”
Komut yürütmesinin sonuçları daha sonra bir RAR arşivi şeklinde paketlenir ve posta kutusunun taslak ve çöp klasörlerindeki bir taslak e -postaya eklenir.
Saldırılarda ayrıca, Chrome tarayıcı kimlik bilgilerini hasat etmek için bir çerez stealer gibi diğer araçlar, açık kaynaklı bir proxy yardımcı programı Zehirayrıcalıkları ayarlayan bir program ve yakalanan verileri sıkıştırmak ve şifrelemek için ısmarlama yazılım.
Ayrıca, tehdit oyuncusu, internet erişimini tespit etmek için kontrol yapmanın yanı sıra, hedef ortamın keşiflerini gerçekleştirmek için net, görev listesi, ipconfig ve netstat gibi komutlar çalıştırıldı.
Talos, “İnternet erişimi kısıtlıysa, aktörün iki stratejisi vardır: bir bağlantı kurmak için hedefin proxy ayarlarını kullanma veya izole edilmiş makineleri internet tarafından erişilebilir sistemlere bağlamak için Venom Proxy aracını kullanma.”
