Tehdit oyuncusu olarak bilinen Lotus Panda Filipinler, Vietnam, Hong Kong ve Tayvan’daki hükümet, üretim, telekomünikasyon ve medya sektörlerini hedefleyen gözlendi.
Cisco Talos araştırmacısı Joey Chen, geçen hafta yayınlanan bir analizde, “Lotus Blossom, en az 2016’dan beri Sagerunex Backdoor’u kullanıyor ve geçen hafta yayınlanan bir analizde Cisco Talos araştırmacısı Joey Chen, Sagerunex kötü amaçlı yazılım süitinin yeni varyantlarını geliştiriyor ve giderek daha uzun süredir kullanıyor.” Dedi.
Billbug, Bronz Elgin, Lotus Blossom, Spring Dragon ve Thrip olarak da bilinen Lotus Panda, en azından 2009’dan beri aktif olan şüpheli bir Çin hack mürettebatı. Tehdit oyuncusu ilk olarak Symantec tarafından Haziran 2018’de ortaya çıktı.
2022’nin sonlarında, Broadcom’a ait Symantec, tehdit oyuncunun bir dijital sertifika otoritesine yönelik saldırısını ve Asya’da farklı ülkelerde bulunan hükümet ve savunma ajanslarını Hannotog ve Sagerunex gibi arka planların kullanımını içeren detaylandırdı.
Mızrak-aktı ve sulama deliği saldırıları yapma geçmişine sahip olmasına rağmen, en son müdahale setindeki varlıkları ihlal etmek için kullanılan tam başlangıç erişim vektörü bilinmemektedir. Belirtilmemiş saldırı yolu, EVORA olarak bilinen eski bir Billbug kötü amaçlı yazılımın evrimi olarak değerlendirilen SagerUNex implantı için bir kanal görevi görür.
Etkinlik, tespitten kaçınmak için Dropbox, X ve Zimbra gibi meşru hizmetleri komut ve kontrol (C2) tünelleri olarak kullanan iki yeni “beta” varyantının kullanımı için dikkat çekicidir. Kaynak kodunda hata ayıklama dizelerinin varlığı nedeniyle sözde.
Arka kapı, hedef ana bilgisayar bilgilerini toplamak, şifrelemek ve ayrıntıları saldırganın kontrolü altındaki uzak bir sunucuya eklemek için tasarlanmıştır. Sagerunex’in Dropbox ve X versiyonlarının 2018 ve 2022 arasında kullanıldığına inanılırken, Zimbra versiyonunun 2019’dan beri var olduğu söyleniyor.
Chen, “SagerUNex’in Zimbra Webmail sürümü sadece kurban bilgilerini toplamak ve Zimbra posta kutusuna göndermek için değil, aynı zamanda aktörün sipariş vermek ve kurban makinesini kontrol etmek için Zimbra posta içeriği kullanmasına izin vermek için tasarlanmıştır.” Dedi.
“Posta kutusunda meşru bir komut sipariş içeriği varsa, arka kapı içeriği indirecek ve komutu çıkaracaktır, aksi takdirde arka kapı içeriği siler ve meşru bir komut bekler.”
Komut yürütmesinin sonuçları daha sonra bir RAR arşivi şeklinde paketlenir ve posta kutusunun taslak ve çöp klasörlerindeki bir taslak e -postaya eklenir.
Saldırılarda ayrıca, krom tarayıcı kimlik bilgilerini hasat etmek için bir çerez stealer, Venom adlı açık kaynaklı bir proxy yardımcı programı, ayrıcalıkları ayarlamak için bir program ve yakalanan verileri sıkıştıracak ve şifrelemek için ısmarlama yazılımlar gibi diğer araçlar da kullanılmıştır.
Ayrıca, tehdit oyuncusu, internet erişimini tespit etmek için kontrol yapmanın yanı sıra, hedef ortamın keşiflerini gerçekleştirmek için net, görev listesi, ipconfig ve netstat gibi komutlar çalıştırıldı.
Talos, “İnternet erişimi kısıtlıysa, aktörün iki stratejisi vardır: bir bağlantı kurmak için hedefin proxy ayarlarını kullanma veya izole edilmiş makineleri internet tarafından erişilebilir sistemlere bağlamak için Venom Proxy aracını kullanma.”