Variantes du malware Sagerunex : un regard plus approfondi sur l'évolution de la cybermenace

A Backdoor in a Ruby Password Checking Library

Des chercheurs en cybersécurité ont découvert de nouveaux développements dans les activités en cours du groupe de hackers connu sous le nom de Lotus Panda. Cet acteur malveillant, qui aurait des liens avec la Chine, cible activement les organisations gouvernementales, industrielles, de télécommunications et de médias dans plusieurs régions, notamment aux Philippines, au Vietnam, à Hong Kong et à Taiwan. Au centre de leurs opérations se trouve une suite de logiciels malveillants en constante évolution connue sous le nom de Sagerunex, qui est utilisée comme porte dérobée pour le cyberespionnage depuis au moins 2016.

Qu'est-ce que Sagerunex ?

Sagerunex est un malware de type backdoor sophistiqué conçu pour infiltrer les systèmes ciblés, collecter des informations sur l'hôte et exfiltrer des données vers un serveur externe contrôlé par des attaquants. Le malware a subi des modifications importantes au fil des ans, ses dernières variantes affichant des capacités améliorées pour maintenir la persistance et éviter la détection. Ces modifications témoignent des efforts continus de Lotus Panda pour affiner ses outils et améliorer ses opérations de cyberespionnage.

Dérivé à l'origine d'un ancien malware appelé Evora, Sagerunex sert de point d'entrée dans les réseaux compromis. Une fois à l'intérieur, il établit un canal de communication secret qui permet aux attaquants d'émettre des commandes à distance. Les dernières versions du malware exploitent des services en ligne largement utilisés comme Dropbox , X (anciennement Twitter) et Zimbra, les utilisant comme tunnels de commande et de contrôle (C2). En exploitant ces plateformes légitimes, les attaquants peuvent contourner les mesures de sécurité conventionnelles et maintenir un accès à long terme aux systèmes compromis.

Que recherchent les attaquants ?

L'objectif principal des campagnes de Lotus Panda est de mener des activités de cyberespionnage en collectant des informations sensibles auprès d'entités ciblées. Le logiciel malveillant permet aux attaquants de :

  • Informations sur le système de récolte : Sagerunex collecte des détails sur la machine hôte, y compris les informations d'identification de l'utilisateur, les processus en cours d'exécution et les configurations réseau.
  • Exécuter des commandes à distance : la porte dérobée permet aux acteurs malveillants d'exécuter des commandes sur des appareils compromis, leur offrant ainsi un degré élevé de contrôle sur les machines infectées.
  • Vol de données : les informations volées sont souvent compressées et cryptées avant d'être envoyées à des serveurs distants, ce qui rend la détection et l'analyse plus difficiles pour les équipes de cybersécurité.
  • Maintenir la furtivité et la persistance : en s'intégrant dans des services Web légitimes, le malware garantit qu'il peut échapper aux outils de sécurité et continuer à fonctionner dans des réseaux compromis pendant des périodes prolongées.

L'une des caractéristiques notables de la variante de messagerie Web Zimbra de Sagerunex est sa capacité à recevoir des instructions de commande via le contenu du courrier électronique. Les attaquants intègrent des commandes dans les messages électroniques Zimbra et le logiciel malveillant recherche des instructions légitimes. Si des commandes valides sont détectées, elles sont exécutées ; sinon, le contenu du message est supprimé pour éviter d'éveiller les soupçons. Cette approche innovante met en évidence la sophistication croissante des opérations informatiques de Lotus Panda.

Comment fonctionne Sagerunex ?

Bien que la méthode exacte d'infection initiale reste floue, Lotus Panda a l'habitude d'utiliser des campagnes de spear-phishing et des attaques par points d'eau. Ces techniques impliquent :

  • Spear-Phishing : envoi d’e-mails soigneusement conçus qui incitent les destinataires à cliquer sur des liens malveillants ou à ouvrir des pièces jointes infectées.
  • Attaques de type Watering Hole : compromettre des sites Web de confiance fréquemment visités par les organisations ciblées, permettant ainsi la diffusion de logiciels malveillants via des téléchargements d'apparence légitime.

Une fois à l'intérieur d'un système, Sagerunex procède à des activités de reconnaissance, collectant des renseignements sur l'environnement réseau. Des commandes telles que net, tasklist, ipconfig et netstat sont exécutées pour identifier l'architecture du système, les processus en cours d'exécution et les connexions réseau. Si l'accès à Internet est restreint, le malware peut s'adapter en utilisant les paramètres proxy de la cible ou en déployant l'outil proxy Venom pour établir une connexion externe.

Les outils supplémentaires déployés en collaboration avec Sagerunex incluent :

  • Un voleur de cookies : extrait les informations d'identification du navigateur Chrome stockées, accordant potentiellement l'accès à des comptes et services supplémentaires.
  • Programmes d’escalade des privilèges : ajustent les autorisations des utilisateurs pour accorder un accès de niveau supérieur aux attaquants.
  • Outils de compression et de cryptage des données : empaquetez en toute sécurité les données volées pour les exfiltrer, ce qui rend plus difficile pour les professionnels de la cybersécurité de détecter les transmissions non autorisées.

Conséquences pour la cybersécurité

L’évolution continue de Sagerunex pose un défi de taille aux équipes de cybersécurité, notamment dans les secteurs gouvernementaux et des infrastructures critiques. L’utilisation de services légitimes pour la communication et l’exfiltration de données complique les efforts de détection, car les mesures de sécurité traditionnelles peuvent négliger des activités apparemment bénignes impliquant des plateformes comme Dropbox et Zimbra.

Les organisations doivent adopter une approche proactive pour se défendre contre ces types de menaces. Les stratégies recommandées sont les suivantes :

  • Renforcement de la sécurité des e-mails : la mise en œuvre d’un filtrage avancé des e-mails et la formation des employés à reconnaître les tentatives d’hameçonnage ciblé peuvent réduire le risque d’infection initiale.
  • Surveillance du trafic réseau : l’analyse des communications sortantes pour détecter toute activité inhabituelle peut aider à identifier les canaux C2 cachés.
  • Amélioration de la protection des points de terminaison : le déploiement d’outils d’analyse comportementale peut détecter les processus suspects indiquant une activité malveillante.
  • Application des principes Zero Trust : restreindre l'accès en fonction des identités vérifiées et mettre en œuvre des stratégies de segmentation peut limiter la capacité d'un attaquant à se déplacer latéralement au sein d'un réseau.

Réflexions finales

L’émergence de nouvelles variantes de Sagerunex souligne l’adaptabilité et la persistance des acteurs de la cybermenace comme Lotus Panda. À mesure que leurs tactiques continuent d’évoluer, les défenses des organisations ciblées doivent également évoluer. En comprenant les capacités et les objectifs de ce malware, les entreprises et les entités gouvernementales peuvent prendre les mesures nécessaires pour renforcer leur posture de cybersécurité et minimiser les risques posés par ces menaces de plus en plus sophistiquées.

Par Willa
March 7, 2025
Malware, Trojan
Français
March 7, 2025
Malware, Trojan

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.