O agente de ameaça conhecido como Lotus Panda foi observado atacando os setores de governo, manufatura, telecomunicações e mídia nas Filipinas, Vietnã, Hong Kong e Taiwan com versões atualizadas de um backdoor conhecido como Sagerunex.
"Lotus Blossom tem usado o backdoor Sagerunex desde pelo menos 2016 e está cada vez mais empregando shells de persistência de longo prazo e desenvolvendo novas variantes do pacote de malware Sagerunex," disse Joey Chen, pesquisador da Cisco Talos, em uma análise publicada na semana passada.
Lotus Panda, também conhecido como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon e Thrip, é um suspeito grupo de hackers chinês que está ativo desde pelo menos 2009.
O agente de ameaça foi exposto pela primeira vez pela Symantec em junho de 2018.
No final de 2022, a Symantec, de propriedade da Broadcom, detalhou o ataque do agente de ameaça a uma autoridade de certificados digitais, bem como a agências governamentais e de defesa localizadas em diferentes países da Ásia, que envolveu o uso de backdoors como Hannotog e Sagerunex.
O vetor inicial de acesso exato usado para violar as entidades no conjunto mais recente de intrusões não é conhecido, embora tenha um histórico de condução de ataques de spear-phishing e watering hole.
O caminho de ataque não especificado serve como um canal para o implante Sagerunex, que é avaliado como uma evolução de um malware Billbug mais antigo conhecido como Evora.
A atividade é notável pelo uso de duas novas variantes "beta" do malware, que aproveitam serviços legítimos como Dropbox, X e Zimbra como túneis de command-and-control (C2) para evitar detecção.
Eles têm sido chamados assim devido à presença de strings de depuração no código-fonte.
O backdoor é projetado para coletar informações do host alvo, criptografá-las e exfiltrar os detalhes para um servidor remoto sob controle do atacante.
As versões Dropbox e X do Sagerunex acredita-se que foram usadas entre 2018 e 2022, enquanto a versão Zimbra diz-se que existe desde 2019.
"A versão webmail Zimbra do Sagerunex não é apenas projetada para coletar informações da vítima e enviá-las para a caixa de correio Zimbra, mas também para permitir que o ator use o conteúdo de correio Zimbra para dar ordens e controlar a máquina da vítima," disse Chen.
Se houver um conteúdo de ordem de comando legítimo na caixa de correio, o backdoor irá baixar o conteúdo e extrair o comando, caso contrário, o backdoor irá deletar o conteúdo e esperar por um comando legítimo.
Os resultados da execução do comando são subsequentemente empacotados na forma de um arquivo RAR e anexados a um e-mail de rascunho nas pastas de rascunho e lixo da caixa de correio.
Também implantados nos ataques estão outras ferramentas como um cookie stealer para colher credenciais do navegador Chrome, uma ferramenta de proxy de código aberto chamada Venom, um programa para ajustar privilégios e software personalizado para comprimir e criptografar dados capturados.
Além disso, o agente de ameaça foi observado executando comandos como net, tasklist, ipconfig e netstat para realizar reconhecimento do ambiente alvo, além de realizar verificações para assegurar o acesso à internet.
"Se o acesso à internet for restrito, então o ator tem duas estratégias: usando as configurações de proxy do alvo para estabelecer uma conexão ou usando a ferramenta de proxy Venom para conectar as máquinas isoladas a sistemas acessíveis à internet," observou a Talos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...