Varianti del malware Sagerunex: uno sguardo più da vicino alla minaccia informatica in evoluzione

A Backdoor in a Ruby Password Checking Library

I ricercatori di sicurezza informatica hanno scoperto nuovi sviluppi nelle attività in corso del gruppo di hacker noto come Lotus Panda. Questo attore della minaccia, che si ritiene abbia legami con la Cina, ha preso di mira attivamente organizzazioni governative, manifatturiere, di telecomunicazioni e media in diverse regioni, tra cui Filippine, Vietnam, Hong Kong e Taiwan. Al centro delle loro operazioni c'è una suite di malware in evoluzione nota come Sagerunex, che è stata utilizzata come backdoor per lo spionaggio informatico almeno dal 2016.

Che cosa è Sagerunex?

Sagerunex è un sofisticato malware backdoor progettato per infiltrarsi nei sistemi mirati, raccogliere informazioni sull'host ed esfiltrare dati su un server esterno controllato dagli aggressori. Il malware ha subito modifiche significative nel corso degli anni, con le sue ultime varianti che mostrano capacità migliorate per mantenere la persistenza ed evitare il rilevamento. Queste modifiche sono una testimonianza degli sforzi continui di Lotus Panda per perfezionare i suoi strumenti e migliorare le sue operazioni di spionaggio informatico.

Originariamente derivato da un malware più vecchio chiamato Evora, Sagerunex funge da punto di ingresso nelle reti compromesse. Una volta all'interno, stabilisce un canale di comunicazione nascosto che consente agli aggressori di impartire comandi da remoto. Le ultime versioni del malware sfruttano servizi online ampiamente utilizzati come Dropbox , X (ex Twitter) e Zimbra, utilizzandoli come tunnel di comando e controllo (C2). Sfruttando queste piattaforme legittime, gli aggressori possono aggirare le misure di sicurezza convenzionali e mantenere l'accesso a lungo termine ai sistemi compromessi.

Cosa vogliono gli aggressori?

L'obiettivo primario delle campagne di Lotus Panda è condurre attività di cyber spionaggio raccogliendo informazioni sensibili da entità prese di mira. Il malware consente agli aggressori di:

  • Informazioni sul sistema di raccolta : Sagerunex raccoglie dettagli sulla macchina host, tra cui credenziali utente, processi in esecuzione e configurazioni di rete.
  • Esecuzione di comandi remoti : la backdoor consente agli autori della minaccia di eseguire comandi su dispositivi compromessi, garantendo loro un elevato grado di controllo sulle macchine infette.
  • Furto di dati : le informazioni rubate vengono spesso compresse e crittografate prima di essere inviate a server remoti, rendendo più difficile il rilevamento e l'analisi per i team di sicurezza informatica.
  • Mantenere furtività e persistenza : integrandosi nei servizi web legittimi, il malware riesce a eludere gli strumenti di sicurezza e a continuare a operare nelle reti compromesse per lunghi periodi.

Una caratteristica degna di nota della variante webmail Zimbra di Sagerunex è la sua capacità di ricevere istruzioni di comando tramite contenuto e-mail. Gli aggressori incorporano i comandi nei messaggi di posta Zimbra e il malware esegue la scansione per istruzioni legittime. Se vengono rilevati comandi validi, vengono eseguiti; in caso contrario, il contenuto del messaggio viene eliminato per evitare di destare sospetti. Questo approccio innovativo evidenzia la crescente sofisticatezza delle operazioni informatiche di Lotus Panda.

Come funziona Sagerunex?

Sebbene il metodo esatto dell'infezione iniziale rimanga poco chiaro, Lotus Panda ha una storia di impiego di campagne di spear-phishing e attacchi watering hole. Queste tecniche includono:

  • Spear-Phishing : invio di e-mail accuratamente studiate per indurre i destinatari a cliccare su link dannosi o ad aprire allegati infetti.
  • Attacchi Watering Hole : compromissione di siti Web attendibili visitati di frequente dalle organizzazioni prese di mira, consentendo la diffusione di malware tramite download dall'aspetto legittimo.

Una volta all'interno di un sistema, Sagerunex procede con attività di ricognizione, raccogliendo informazioni sull'ambiente di rete. Comandi come net, tasklist, ipconfig e netstat vengono eseguiti per identificare l'architettura del sistema, i processi in esecuzione e le connessioni di rete. Se l'accesso a Internet è limitato, il malware può adattarsi utilizzando le impostazioni proxy del bersaglio o distribuendo lo strumento proxy Venom per stabilire una connessione esterna.

Altri strumenti implementati in collaborazione con Sagerunex includono:

  • Un ladro di cookie : estrae le credenziali memorizzate nel browser Chrome, consentendo potenzialmente l'accesso ad account e servizi aggiuntivi.
  • Programmi di escalation dei privilegi : regolano le autorizzazioni degli utenti per concedere agli aggressori un accesso di livello superiore.
  • Strumenti di compressione e crittografia dei dati : impacchettano in modo sicuro i dati rubati per l'esfiltrazione, rendendo più difficile per i professionisti della sicurezza informatica rilevare le trasmissioni non autorizzate.

Implicazioni per la sicurezza informatica

La continua evoluzione di Sagerunex pone una sfida significativa per i team di sicurezza informatica, in particolare nei settori governativi e delle infrastrutture critiche. L'uso di servizi legittimi per la comunicazione e l'esfiltrazione dei dati complica gli sforzi di rilevamento, poiché le misure di sicurezza tradizionali potrebbero trascurare attività apparentemente benigne che coinvolgono piattaforme come Dropbox e Zimbra.

Le organizzazioni devono adottare un approccio proattivo per difendersi da questi tipi di minacce. Le strategie consigliate includono:

  • Rafforzamento della sicurezza della posta elettronica : l'implementazione di filtri avanzati per la posta elettronica e la formazione dei dipendenti per riconoscere i tentativi di spear-phishing possono ridurre il rischio di infezione iniziale.
  • Monitoraggio del traffico di rete : l'analisi delle comunicazioni in uscita per rilevare attività insolite può aiutare a identificare canali C2 nascosti.
  • Miglioramento della protezione degli endpoint : l'implementazione di strumenti di analisi comportamentale può rilevare processi sospetti indicativi di attività malware.
  • Applicazione dei principi Zero Trust : limitare l'accesso in base a identità verificate e implementare strategie di segmentazione può limitare la capacità di un aggressore di muoversi lateralmente all'interno di una rete.

Considerazioni finali

L'emergere di nuove varianti di Sagerunex sottolinea l'adattabilità e la persistenza di attori di minacce informatiche come Lotus Panda. Man mano che le loro tattiche continuano a evolversi, devono farlo anche le difese delle organizzazioni prese di mira. Comprendendo le capacità e gli obiettivi di questo malware, le aziende e gli enti governativi possono adottare le misure necessarie per rafforzare la propria postura di sicurezza informatica e ridurre al minimo i rischi posti da queste minacce sempre più sofisticate.

Entro il Willa
March 7, 2025
Malware, Trojan
Italiano
March 7, 2025
Malware, Trojan

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.