Sagerunex 恶意软件变种:深入研究不断演变的网络威胁
网络安全研究人员发现了名为 Lotus Panda 的黑客组织正在进行的活动的新进展。据信,该威胁行为者与中国有联系,一直在积极攻击菲律宾、越南、香港和台湾等多个地区的政府、制造业、电信和媒体组织。他们行动的核心是一款名为 Sagerunex 的不断发展的恶意软件套件,自 2016 年以来,该套件一直被用作网络间谍活动的后门。
Table of Contents
Sagerunex 是什么?
Sagerunex 是一种复杂的后门恶意软件,旨在渗透目标系统、收集主机信息并将数据泄露到攻击者控制的外部服务器。多年来,该恶意软件经历了重大修改,其最新版本显示出更好的持久性和避免检测的能力。这些修改证明了 Lotus Panda 不断努力改进其工具并增强其网络间谍活动。
Sagerunex 最初源自一种名为 Evora 的旧恶意软件,可作为入侵受感染网络的入口点。一旦进入,它就会建立一个隐蔽的通信通道,允许攻击者远程发出命令。最新版本的恶意软件利用广泛使用的在线服务,如Dropbox 、X(以前称为 Twitter)和 Zimbra,将它们用作命令和控制 (C2) 隧道。通过利用这些合法平台,攻击者可以绕过常规安全措施并保持对受感染系统的长期访问。
袭击者的目的何在?
Lotus Panda 活动的主要目标是通过收集目标实体的敏感信息来进行网络间谍活动。该恶意软件使攻击者能够:
- 收集系统信息:Sagerunex 收集有关主机的详细信息,包括用户凭据、正在运行的进程和网络配置。
- 执行远程命令:后门允许威胁行为者在受感染的设备上运行命令,从而让他们能够对受感染的机器进行高度控制。
- 窃取数据:被盗信息通常在发送到远程服务器之前被压缩和加密,这使得网络安全团队的检测和分析更具挑战性。
- 保持隐秘性和持久性:通过将自身嵌入合法的网络服务中,恶意软件确保其能够逃避安全工具并在受感染的网络中长期持续运行。
Sagerunex Zimbra 网络邮件变种的一个显著特点是它能够通过电子邮件内容接收命令指令。攻击者将命令嵌入 Zimbra 邮件消息中,恶意软件会扫描合法指令。如果检测到有效命令,则执行这些命令;否则,将删除邮件内容以避免引起怀疑。这种创新方法凸显了 Lotus Panda 网络行动日益复杂化。
Sagerunex 如何运作?
尽管最初感染的具体方法尚不清楚,但 Lotus Panda 曾使用过鱼叉式网络钓鱼活动和水坑攻击。这些技术包括:
- 鱼叉式网络钓鱼:发送精心制作的电子邮件,诱骗收件人点击恶意链接或打开受感染的附件。
- 水坑攻击:破坏目标组织经常访问的可信网站,允许恶意软件通过看似合法的下载进行传播。
一旦进入系统,Sagerunex 便会进行侦察活动,收集有关网络环境的情报。执行 net、tasklist、ipconfig 和 netstat 等命令来识别系统架构、正在运行的进程和网络连接。如果互联网访问受到限制,恶意软件可以通过利用目标的代理设置或部署 Venom 代理工具来建立外部连接。
与 Sagerunex 一起部署的其他工具包括:
- Cookie 窃取程序:提取存储的 Chrome 浏览器凭证,可能授予对其他帐户和服务的访问权限。
- 权限提升程序:调整用户权限,以授予攻击者更高级别的访问权限。
- 数据压缩和加密工具:安全地打包被盗数据以便泄露,使网络安全专业人员更难检测到未经授权的传输。
对网络安全的影响
Sagerunex 的不断发展对网络安全团队构成了重大挑战,尤其是在政府和关键基础设施部门。使用合法服务进行通信和数据泄露使检测工作变得复杂,因为传统的安全措施可能会忽略涉及 Dropbox 和 Zimbra 等平台的看似无害的活动。
组织必须采取主动的方法来防御这些类型的威胁。建议的策略包括:
- 加强电子邮件安全:实施先进的电子邮件过滤措施并培训员工识别鱼叉式网络钓鱼尝试可以降低初始感染的风险。
- 监控网络流量:分析出站通信中的异常活动有助于识别隐藏的 C2 通道。
- 增强端点保护:部署行为分析工具可以检测表明恶意软件活动的可疑进程。
- 应用零信任原则:根据已验证的身份限制访问并实施分段策略可以控制攻击者在网络内横向移动的能力。
最后的想法
新型 Sagerunex 变体的出现凸显了 Lotus Panda 等网络威胁行为者的适应性和持久性。随着他们的策略不断发展,目标组织的防御也必须不断改进。通过了解这种恶意软件的功能和目标,企业和政府实体可以采取必要措施来加强其网络安全态势,并最大限度地降低这些日益复杂的威胁所带来的风险。
