Lotus Blossom, Lotus Panda, Billbug ve Spring Dragon olarak da bilinen Gelişmiş Kalıcı Tehdit (APT) grubu, Sagerunex Backdoor’un yeni varyantlarıyla siber sorumluluk çabalarını yoğunlaştırdı.
Bu gelişmeler, sepetleme sonrası faaliyetler için Windows Management Enstrümantasyon (WMI) ve komut ve kontrol (C2) iletişimi için meşru bulut hizmetleri kullanma da dahil olmak üzere grubun gelişen taktiklerini vurgulamaktadır.
Grubun son kampanyaları öncelikle Asya-Pasifik (APAC) bölgesindeki devlet kurumlarını hedefliyor.
Lotus Blossom’un saldırı zinciri, mızrak avı, sulama deliği saldırıları veya kamuya açık uygulamalardaki güvenlik açıklarından yararlanarak elde edilen başlangıç erişimiyle başlar.
Bir ağın içine girdikten sonra, grup yanal hareketi kolaylaştırmak için WMI kullanır. Bu teknik, saldırganların ek kötü amaçlı yazılımlar dağıtmadan uzak sistemlerde komutlar yürütmelerini sağlar ve algılamayı daha zor hale getirir.
Meydan okulu makinelerde, saldırganlar veri sıkıştırma için RAR okçuları, trafik aktarımı için Venom gibi özel proxy yardımcı programları ve kimlik bilgisi hasat için krom çerez çalanlar dahil olmak üzere bir dizi araç kullanıyor.
Gibi keşif komutları tasklist– ipconfigVe netstat sistem ve ağ bilgilerini toplamak için yürütülür.
Doğrudan internet erişimi kullanılamazsa, grup proxy yapılandırmalarını kullanır veya trafiği diğer enfekte edilmiş ana bilgisayarlar aracılığıyla yönlendirmek için Venom’u dağıtır.
Kalıcılık, Windows kayıt defterine Sagerunex arka kapı varyantları kurularak elde edilir. Bu varyantlar, “Tapisrv” ve “SWPRV” gibi güvenilir hizmet adlarını ele geçirerek meşru sistem hizmetleri olarak maskelenir.
Arka kapı, uzun vadeli erişim sağlayarak sistem başlangıçta otomatik olarak çalışacak şekilde yapılandırılmıştır.
Meşru platformlar aracılığıyla komut ve kontrol
SagerUNex Backdoor, C2 Communications için Dropbox, Twitter (X) ve Zimbra gibi meşru platformları kullanarak gelişmiş kaçırma tekniklerini gösterir.
Picus Security’ye göre, bu platformlar saldırganların kötü amaçlı trafiği normal kullanıcı etkinliği ile harmanlamasına izin veriyor.
Örneğin:
- Dropbox: Çalınan veriler şifrelenir ve olarak yüklenir
.rardosyalar. - Twitter: Komutlar durum güncellemelerine gömülüdür.
- Zimbra: Pefiltrated veriler taslak e -postalarda veya gelen kutusu içeriğinde gizlenir.
Bu yöntemler, geleneksel ağ izleme çözümleri tarafından tespiti karmaşıklaştırır. Ek olarak, şifreli iletişim kanalları, saldırı tespit sistemlerinden kötü niyetli aktiviteyi daha da belirler.
Kuruluşlar, Lotus Blossom’un ortaya koyduğu riskleri azaltmak için çok katmanlı bir savunma yaklaşımı benimsemelidir:
- Uç nokta tespiti ve yanıtı (EDR): Kayıt defteri değişiklikleri ve bulut hizmetleriyle şifreli iletişim gibi şüpheli etkinlikleri tanımlayabilen davranış tabanlı EDR araçlarını dağıtın.
- Ağ segmentasyonu: Ağları segmentlere ayırarak ve sıfır tröst modeli uygulayarak yanal hareketi sınırlayın.
- Güvenlik Doğrulama: Lotus Blossom’un taktiklerine karşı savunmaları test etmek için ihlal ve saldırı simülasyonu (BAS) platformlarını kullanın.
- Olay Yanıtı Hazırlık: Gelişmiş tehditleri hızlı bir şekilde tespit etmek ve içermek için olay müdahale planlarını geliştirin ve düzenli olarak test edin.
Lotus Blossom APT Group’un WMI, meşru bulut platformları ve gizli kalıcılık mekanizmalarının sofistike kullanımı, gelişmiş tehdit aktörlerine karşı tasarlanmış sağlam siber güvenlik önlemlerine ihtiyaç olduğunu vurgulamaktadır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free