Spring Dragon, Billbug veya Thrip olarak da bilinen Lotus Blossom Hacker Group, siber casusluk kampanyalarında komut ve kontrol (C2) iletişimleri için Dropbox, Twitter ve Zimbra gibi meşru bulut hizmetlerinden yararlanarak tanımlandı.
Cisco Talos araştırmacıları, bu sofistike operasyonları, SagerUNex adlı özel bir arka kapı ailesinin kullanımını göstererek yüksek güvenle gruba atfediyor.
En az 2012’den bu yana aktif olan Lotus Blossom, Filipinler, Vietnam, Hong Kong ve Tayvan gibi bölgelerde hükümet, üretim, telekomünikasyon ve medya gibi sektörleri hedeflemeye devam ediyor.
Çok Variary kötü amaçlı yazılım ve kaçınma taktikleri
Sagerunex arka kapısı, tehlikeye atılan ortamlarda kalıcılıktan kaçınmak ve devam etmek için tasarlanmış çoklu varyantlara dönüştü.
Daha önceki sürümler C2 işlemleri için geleneksel sanal özel sunuculara (VPS) dayanıyordu. Ancak, son kampanyalar üçüncü taraf bulut hizmetlerine doğru bir değişim sergiliyor.
Dropbox API’leri, Twitter jetonları ve Zimbra Webmail API’lerini C2 tünelleri olarak kullanarak, grup kötü niyetli trafiği yasal hizmet kullanımıyla etkili bir şekilde harmanlayarak algılama çabalarını karmaşıklaştırır.
Örneğin:
- Dropbox ve Twitter varyantları: Bu varyantlar C2 kanallarını oluşturmak için API’leri kullanır. İlk kontrollerden sonra, C2 altyapısı ile iletişim kurmak için tokenleri alırlar. Toplanan veriler şifrelenir ve Dropbox’a yüklenir veya Twitter durum güncellemeleri aracılığıyla iletilir.
- Zimbra varyantı: Bu sürüm Zimbra’nın hem veri açığa çıkması hem de komut yürütme için Webmail hizmetinden yararlanır. Ana bilgisayar bilgileri, tehlikeye atılan hesaplarda taslak e -postalara ekli dosyalar halinde şifrelenir.
Bu teknikler, grubun geleneksel güvenlik mekanizmalarını atlamak için yaygın olarak kullanılan platformlardan yararlanmadaki uyarlanabilirliğini vurgulamaktadır.
Kalıcılık ve keşif
Lotus Blossom, hedeflenen ağlar içinde uzun vadeli erişimi sağlamak için gelişmiş yöntemler kullanır.
Sagerunex arka kapı doğrudan belleğe enjekte edilir ve sistem kayıt defteri değişiklikleri aracılığıyla hizmet olarak çalışacak şekilde yapılandırılır.
“Netstat”, “ipconfig” ve “görev listesi” gibi komutlar, kullanıcı hesapları, süreçler ve ağ yapılandırmaları hakkında ayrıntılı bilgi toplayarak keşif için yürütülür.
Ayrıca, grup aşağıdakiler gibi araçlar kullanır:
- Chrome Cookie Stealers: Tarayıcı kimlik bilgilerini hasat etmek için.
- Venom Proxy Araçları: Bağlantıları aktarma için özelleştirilmiş.
- Arşivleme Araçları: Çalınan dosyaları sıkıştırma ve şifrelemek için.
- Port Röle Araçları: İzole sistemlerden dış iletişimi kolaylaştırmak için.
Bu taktikler, grubun casusluk faaliyetleri yürütürken uzun süre tespit edilmemesini sağlar.
Cisco Talos’un analizi, bu kampanyaları tutarlı taktikler, teknikler ve prosedürlere (TTP) ve kurban profillerine dayanan Lotus Blossom’a bağlar.
Sagerunex Backdoor ailesi operasyonlarının merkezinde kalıyor. Zaman içinde farklı varyantlar geliştirmesine rağmen, yürütme gecikmeleri için zaman kontrol mantığı gibi temel işlevler tüm sürümlerde tutarlıdır.
Kötü niyetli amaçlar için meşru bulut hizmetlerinin kullanılması, kuruluşların iyi huylu ve zararlı faaliyetler arasında ayrım yapmada karşılaştıkları zorlukların altını çizmektedir.
Bu gelişme, Lotus Blossom gibi gelişmiş kalıcı tehditlerin ortaya koyduğu riskleri azaltmak için bulut tabanlı trafiğin ve sağlam uç nokta koruma çözümlerinin gelişmiş izlenmesini gerektiriyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free