Варианты вредоносного ПО Sagerunex: более пристальный взгляд на развивающуюся киберугрозу

Исследователи кибербезопасности обнаружили новые разработки в текущей деятельности хакерской группы, известной как Lotus Panda. Этот субъект угроз, предположительно связанный с Китаем, активно атакует правительственные, производственные, телекоммуникационные и медиа-организации в нескольких регионах, включая Филиппины, Вьетнам, Гонконг и Тайвань. В центре их операций находится развивающийся набор вредоносных программ, известный как Sagerunex, который использовался в качестве бэкдора для кибершпионажа по крайней мере с 2016 года.

Что такое Сагерунекс?

Sagerunex — это сложная вредоносная программа-бэкдор, предназначенная для проникновения в целевые системы, сбора информации о хостах и вывоза данных на внешний сервер, контролируемый злоумышленниками. За прошедшие годы вредоносная программа претерпела значительные изменения, а ее последние версии демонстрируют улучшенные возможности для поддержания устойчивости и избегания обнаружения. Эти изменения являются свидетельством постоянных усилий Lotus Panda по совершенствованию своих инструментов и улучшению операций по кибершпионажу.

Первоначально созданный на основе более старого вредоносного ПО Evora, Sagerunex служит точкой входа в скомпрометированные сети. Попав внутрь, он устанавливает скрытый канал связи, который позволяет злоумышленникам удаленно отдавать команды. Последние версии вредоносного ПО используют преимущества широко используемых онлайн-сервисов, таких как Dropbox , X (ранее Twitter) и Zimbra, используя их в качестве туннелей управления и контроля (C2). Используя эти легитимные платформы, злоумышленники могут обходить обычные меры безопасности и поддерживать долгосрочный доступ к скомпрометированным системам.

Чего добиваются злоумышленники?

Основная цель кампаний Lotus Panda — кибершпионаж путем сбора конфиденциальной информации от целевых объектов. Вредоносная программа позволяет злоумышленникам:

• Сбор системной информации : Sagerunex собирает сведения о хост-машине, включая учетные данные пользователя, запущенные процессы и конфигурации сети.
• Выполнение удаленных команд : бэкдор позволяет злоумышленникам выполнять команды на взломанных устройствах, обеспечивая им высокую степень контроля над зараженными машинами.
• Кража данных : украденная информация часто сжимается и шифруется перед отправкой на удаленные серверы, что усложняет обнаружение и анализ для групп кибербезопасности.
• Сохранение скрытности и устойчивости : внедряясь в легитимные веб-сервисы, вредоносная программа обеспечивает себе возможность обходить средства безопасности и продолжать работу в скомпрометированных сетях в течение длительного времени.

Одной из примечательных особенностей варианта веб-почты Zimbra Sagerunex является его способность получать командные инструкции через содержимое электронной почты. Злоумышленники встраивают команды в почтовые сообщения Zimbra, а вредоносная программа сканирует их на наличие легитимных инструкций. Если обнаружены допустимые команды, они выполняются; в противном случае содержимое сообщения удаляется, чтобы не вызывать подозрений. Этот инновационный подход подчеркивает растущую сложность киберопераций Lotus Panda.

Как действует Sagerunex?

Хотя точный метод первоначального заражения остается неясным, Lotus Panda имеет историю использования кампаний целевого фишинга и атак типа «водяная яма». Эти методы включают:

• Целевой фишинг : отправка тщательно составленных писем, которые обманным путем заставляют получателей нажимать на вредоносные ссылки или открывать зараженные вложения.
• Атаки типа «водопой» : взлом надежных веб-сайтов, которые часто посещают целевые организации, что позволяет загружать вредоносное ПО с помощью легитимных на вид загрузок.

Попав в систему, Sagerunex приступает к разведывательной деятельности, собирая сведения о сетевой среде. Такие команды, как net, tasklist, ipconfig и netstat, выполняются для определения архитектуры системы, запущенных процессов и сетевых подключений. Если доступ в Интернет ограничен, вредоносная программа может адаптироваться, используя настройки прокси-сервера цели или развертывая инструмент прокси-сервера Venom для установления внешнего соединения.

Дополнительные инструменты, используемые совместно с Sagerunex, включают:

• Похититель файлов cookie : извлекает сохраненные учетные данные браузера Chrome, потенциально предоставляя доступ к дополнительным учетным записям и службам.
• Программы повышения привилегий : изменяют разрешения пользователей, предоставляя злоумышленникам доступ более высокого уровня.
• Инструменты сжатия и шифрования данных : надежно упаковывают украденные данные для их извлечения, что затрудняет обнаружение несанкционированных передач специалистами по кибербезопасности.

Последствия для кибербезопасности

Непрерывная эволюция Sagerunex представляет собой серьезную проблему для групп по кибербезопасности, особенно в правительственных и критических инфраструктурных секторах. Использование легитимных сервисов для связи и эксфильтрации данных усложняет усилия по обнаружению, поскольку традиционные меры безопасности могут игнорировать, казалось бы, безобидные действия с участием таких платформ, как Dropbox и Zimbra.

Организации должны использовать проактивный подход к защите от этих типов угроз. Рекомендуемые стратегии включают:

• Усиление безопасности электронной почты : внедрение расширенной фильтрации электронной почты и обучение сотрудников распознаванию попыток целевого фишинга может снизить риск первоначального заражения.
• Мониторинг сетевого трафика : анализ исходящих сообщений на предмет необычной активности может помочь выявить скрытые каналы C2.
• Улучшение защиты конечных точек : развертывание инструментов поведенческого анализа может обнаружить подозрительные процессы, указывающие на активность вредоносного ПО.
• Применение принципов нулевого доверия : ограничение доступа на основе проверенных идентификационных данных и реализация стратегий сегментации могут ограничить возможности злоумышленника по горизонтальному перемещению внутри сети.

Заключительные мысли

Появление новых вариантов Sagerunex подчеркивает адаптивность и настойчивость киберпреступников, таких как Lotus Panda. Поскольку их тактика продолжает развиваться, то же самое должна делать и защита целевых организаций. Понимая возможности и цели этого вредоносного ПО, предприятия и государственные учреждения могут предпринять необходимые шаги для укрепления своей позиции кибербезопасности и минимизации рисков, создаваемых этими все более изощренными угрозами.