Lotus Panda, Ağustos 2024 ve Şubat 2025 arasında isimsiz bir Güneydoğu Asya ülkesinde birden fazla organizasyonu tehlikeye atan bir kampanyaya atfedildiği için Çin bağlantılı siber casusluk grubu izledi.
Hacker News ile paylaşılan yeni bir raporda Symantec Tehdit Avcı Ekibi, “Hedefler bir devlet bakanlığı, bir hava trafik kontrol kuruluşu, bir telekom operatörü ve bir inşaat şirketi içeriyordu.” Dedi. “Saldırılar, yükleyiciler, kimlik bilgisi çalanlar ve ters SSH aracı dahil olmak üzere birçok yeni özel aracın kullanılmasını içeriyordu.”
İzinsiz giriş setinin ayrıca Güneydoğu Asya’daki başka bir ülkede bulunan bir haber ajansını ve başka bir komşu ülkede bulunan bir hava yük organizasyonunu hedeflediği söyleniyor.
Broadcom’un Siber Güvenlik Bölümü’ne göre tehdit kümesi, Aralık 2024’te şirket tarafından en az Ekim 2023’ten beri Güneydoğu Asya’da yüksek profilli bir kuruluş olarak açıklanan bir kampanyanın devam ettiği değerlendiriliyor.
Daha sonra geçen ay Cisco Talos, Lotus Panda oyuncusunu Filipinler, Vietnam, Hong Kong ve Tayvan’daki hükümet, üretim, telekomünikasyon ve medya sektörlerine yönelik müdahalelere bağladı.
Lotus Panda (diğer adıyla Billbug, Bronz Elgin, Lotus Blossom, Spring Dragon ve Thrip), Güneydoğu Asya’daki hükümetlere ve askeri organizasyonlara karşı siber saldırı düzenleme geçmişine sahiptir.
En azından 2009’dan beri aktif olduğuna inanılan grup, Palo Alto Networks’ün tehdit oyuncusunu, komuta ve yazma dosyalarını yürütmek için tasarlanan bir backdoor (CVE-2012-0158) patlatan bir Microsoft ofis kusurunu (CVE-2012-0158) patlatan kalıcı bir mızrak aktı kampanyasına atfettiği Haziran 2015’te ilk kez spot ışığı altına girdi.
Grup tarafından monte edilen sonraki saldırılar, bir kişiye mızrak-akıcı bir e-postayla gönderilen ve Tayvan’daki Dışişleri Bakanlığı için çalışan bir kişiye çalışan bir mızrak aktı eki aracılığıyla bir Microsoft Windows ole kusurunu (CVE-2014-6332) silahlandırdı.
Symantec tarafından tespit edilen en son saldırı dalgasında, saldırganlar trend micro (“tmdbglog.exe”) ve bitdefender (“bds.exe”), kötü niyetli bir dosya içinde yerleşik bir yük yükleyicisi olarak işlev gören kötü niyetli DLL dosyalarından yararlandı.
Bitdefender ikili, dosyanın kesin doğası belirsiz olmasına rağmen, başka bir DLL’yi yan yüklemek için de kullanılmıştır. Kampanyanın bir diğer bilinmeyen yönü, söz konusu varlıklara ulaşmak için kullanılan ilk erişim vektörüdür.
Saldırılar, sadece Lotus Panda tarafından kullanılan bir araç olan Sagerunex’in güncellenmiş bir versiyonunun yolunu açtı. Hedef ana bilgisayar bilgilerini hasat etme, şifreleme ve ayrıntıları saldırganın kontrolü altındaki harici bir sunucuya sunma özellikleriyle birlikte gelir.
Saldırılarda ayrıca bir ters SSH aracı ve Google Chrome Web tarayıcısında depolanan sifon şifrelerine ve çerezlere donatılmış iki kimlik bilgisi stealer ChromeKatz ve adrectialKatz var.
Symantec, “Saldırganlar, içsel olarak maruz kalan hizmetlere uzaktan erişim sağlamak için aracın paylaşım işlevini kullanarak halka açık Zrok eşler arası aracını konuşlandırdı.” Dedi. “Kullanılan bir başka meşru araca ‘datechanger.exe’ denir. Muhtemelen olay analistleri için suları çamurlamak için dosyalar için zaman damgalarını değiştirebilir.