Sagerunex 惡意軟體變種:深入研究不斷演變的網路威脅
網路安全研究人員發現了名為 Lotus Panda 的駭客組織正在進行的活動的新進展。該威脅行為者被認為與中國有聯繫,並一直積極攻擊菲律賓、越南、香港和台灣等多個地區的政府、製造業、電信和媒體組織。他們的行動核心是一款名為 Sagerunex 的惡意軟體套件,自 2016 年以來,該套件就被用作網路間諜活動的後門。
Table of Contents
Sagerunex 是什麼?
Sagerunex 是一種複雜的後門惡意軟體,旨在滲透目標系統、收集主機資訊並將資料外洩到攻擊者控制的外部伺服器。該惡意軟體多年來經歷了重大修改,其最新版本顯示出更強的維持持久性和避免檢測的能力。這些修改證明了 Lotus Panda 不斷努力改進其工具並增強其網路間諜行動。
Sagerunex 最初源自於一種名為 Evora 的較老的惡意軟體,是進入受感染網路的入口點。一旦進入系統,它就會建立一個隱藏的通訊管道,允許攻擊者遠端發出命令。該惡意軟體的最新版本利用廣泛使用的線上服務,如Dropbox 、X(以前稱為 Twitter)和 Zimbra,將它們用作命令和控制 (C2) 隧道。透過利用這些合法平台,攻擊者可以繞過傳統的安全措施並長期存取受感染的系統。
襲擊者的目的何在?
Lotus Panda 活動的主要目標是透過收集目標實體的敏感資訊來進行網路間諜活動。該惡意軟體使攻擊者能夠:
- 收集系統資訊:Sagerunex 收集有關主機的詳細信息,包括使用者憑證、正在運行的進程和網路配置。
- 執行遠端命令:後門允許威脅行為者在受感染的裝置上執行命令,讓他們能夠對受感染的機器進行高度控制。
- 竊取資料:被盜資訊通常在發送到遠端伺服器之前被壓縮和加密,這使得網路安全團隊的偵測和分析更具挑戰性。
- 保持隱密性和持久性:透過將自身嵌入合法的網路服務中,惡意軟體確保其能夠逃避安全工具並在受感染的網路中長期持續運作。
Sagerunex 的 Zimbra 網路郵件變體的一個顯著特徵是它能夠透過電子郵件內容接收命令指令。攻擊者在 Zimbra 郵件中嵌入指令,惡意軟體會掃描合法指令。如果偵測到有效命令,則執行它們;否則,將刪除訊息內容以避免引起懷疑。這種創新方法凸顯了 Lotus Panda 網路運作日益複雜的程度。
Sagerunex 如何運作?
儘管最初感染的具體方法仍不清楚,但 Lotus Panda 曾使用過魚叉式網路釣魚活動和水坑攻擊。這些技術包括:
- 魚叉式網路釣魚:發送精心製作的電子郵件,誘騙收件者點擊惡意連結或開啟受感染的附件。
- 水坑攻擊:破壞目標組織經常訪問的可信網站,允許惡意軟體透過看似合法的下載傳播。
一旦進入系統,Sagerunex 就會進行偵察活動,收集有關網路環境的情報。執行 net、tasklist、ipconfig 和 netstat 等命令來識別系統架構、正在運行的進程和網路連線。如果網路存取受到限制,則惡意軟體可以透過利用目標的代理設定或部署 Venom 代理工具來建立外部連線。
與 Sagerunex 一起部署的其他工具包括:
- Cookie 竊取程式:擷取儲存的 Chrome 瀏覽器憑證,可能會授予其他帳戶和服務的存取權限。
- 權限提升程序:調整使用者權限,以授予攻擊者更高等級的存取權限。
- 資料壓縮和加密工具:安全地打包被盜資料以便洩露,使網路安全專業人員更難檢測到未經授權的傳輸。
對網路安全的影響
Sagerunex 的持續發展對網路安全團隊提出了重大挑戰,尤其是政府和關鍵基礎設施領域的網路安全團隊。使用合法服務進行通訊和資料外洩使檢測工作變得複雜,因為傳統的安全措施可能會忽略涉及 Dropbox 和 Zimbra 等平台的看似無害的活動。
組織必須採取主動的方法來防禦這些類型的威脅。建議的策略包括:
- 加強電子郵件安全:實施先進的電子郵件過濾措施並培訓員工識別魚叉式網路釣魚嘗試可以降低初始感染的風險。
- 監控網路流量:分析出站通訊中的異常活動有助於識別隱藏的 C2 通道。
- 增強端點保護:部署行為分析工具可以偵測顯示惡意軟體活動的可疑進程。
- 應用零信任原則:根據已驗證的身分限制存取並實施分段策略可以控制攻擊者在網路內橫向移動的能力。
最後的想法
新的 Sagerunex 變種的出現凸顯了 Lotus Panda 等網路威脅行為者的適應性和持久性。隨著攻擊策略不斷演變,目標組織的防禦也必須不斷改進。透過了解這種惡意軟體的功能和目標,企業和政府實體可以採取必要的措施來加強其網路安全態勢,並最大限度地降低這些日益複雜的威脅所帶來的風險。
