Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) Sagerunex-Malware-Varianten

Sagerunex-Malware-Varianten

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren
Übersetzen Sie in:
Deutsch

Der berüchtigte Bedrohungsakteur, der als Lotus Panda bekannt ist, wurde dabei beobachtet, wie er Cyberangriffe auf die Regierungs-, Fertigungs-, Telekommunikations- und Medienbranche auf den Philippinen, in Vietnam, Hongkong und Taiwan startete. Bei diesen Angriffen kommen aktualisierte Versionen der Sagerunex- Hintertür zum Einsatz, ein Malware-Stamm, den Lotus Panda seit mindestens 2016 nutzt. Die APT-Gruppe (Advanced Persistent Threat) verfeinert ihre Taktiken ständig, verwendet langfristig persistente Befehlsshells und entwickelt neue Varianten ihres Malware-Arsenals.

Ein bekannter Name in der Cyber-Spionage

Lotus Panda, auch bekannt als Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon und Thrip , ist ein mutmaßliches chinesisches Hackerkollektiv, das seit mindestens 2009 aktiv ist. Cybersicherheitsforscher deckten die Aktivitäten der Gruppe erstmals im Juni 2018 auf und brachten sie mit einer Reihe von Cyberspionagekampagnen in ganz Asien in Verbindung.

Eine Geschichte spektakulärer Einbrüche

Ende 2022 berichteten Sicherheitsexperten ausführlich über den Angriff von Lotus Panda auf eine digitale Zertifizierungsstelle sowie Regierungs- und Verteidigungsbehörden in ganz Asien. Bei diesen Operationen wurden hochentwickelte Hintertüren wie Hannotog und Sagerunex eingesetzt, was die Fähigkeit der Gruppe unterstreicht, kritische Institutionen zu kompromittieren.

Unklare Einstiegspunkte, aber bekannte Angriffsmethoden

Die genaue Methode, mit der Lotus Panda seine neuesten Ziele erreicht hat, ist unbekannt. Die Gruppe hat jedoch in der Vergangenheit Watering Hole- und Spear-Phishing-Angriffe eingesetzt, um sich ersten Zugriff zu verschaffen. Sobald sie sich Zugang verschafft haben, setzen die Angreifer die Sagerunex-Hintertür ein, die vermutlich eine Weiterentwicklung einer älteren Malware-Variante namens Evora ist.

Ausweichtaktik: Ausnutzung legitimer Dienste

Aktuelle Aktivitäten im Zusammenhang mit Lotus Panda haben zwei neue „Beta“-Varianten von Sagerunex aufgedeckt, die durch Debug-Strings im Quellcode identifiziert werden. Diese Versionen nutzen auf clevere Weise legitime Dienste wie Dropbox, X (besser bekannt als Twitter) und Zimbra als Command-and-Control-Kanäle (C2), was die Erkennung schwieriger macht.

Erweiterte Backdoor-Funktionen

Die Sagerunex-Hintertür ist darauf ausgelegt, detaillierte Informationen über infizierte Maschinen zu sammeln, diese zu verschlüsseln und auf einen von den Angreifern kontrollierten Remote-Server zu exfiltrieren. Die Dropbox- und X-Varianten waren Berichten zufolge zwischen 2018 und 2022 im Einsatz, während die Zimbra-Version seit 2019 in Betrieb ist.

Zimbra Webmail-Variante: Ein versteckter Kontroll-Hub

Die Zimbra-Webmail-Variante von Sagerunex geht über die einfache Datenerfassung hinaus. Sie ermöglicht es Angreifern, Befehle über den Inhalt von Zimbra-Mails zu senden und so kompromittierte Rechner effektiv zu kontrollieren. Wenn in einer E-Mail ein legitimer Befehl erkannt wird, extrahiert und führt die Backdoor ihn aus. Andernfalls löscht die Malware die E-Mail und wartet auf weitere Anweisungen. Die Ergebnisse ausgeführter Befehle werden als RAR-Archive verpackt und in den Entwurfs- und Papierkorbordnern des Postfachs gespeichert.

Ein volles Arsenal: Zusätzliche Tools im Spiel

Lotus Panda verlässt sich nicht ausschließlich auf Sagerunex. Die Gruppe setzt zusätzliche Tools ein, darunter:

  • Ein Cookie-Dieb zum Sammeln von Anmeldeinformationen des Chrome-Browsers.
  • Venom, ein Open-Source-Proxy-Dienstprogramm.
  • Ein Tool zur Rechteausweitung, um erweiterten Systemzugriff zu erhalten.
  • Benutzerdefinierte Software zum Komprimieren und Verschlüsseln der gesammelten Daten.

Netzwerkaufklärung und Umgehung von Beschränkungen

Es wurde beobachtet, dass die Angreifer Aufklärungsbefehle wie net, tasklist, ipconfig und netstat ausführen, um die Zielumgebung zu bewerten. Darüber hinaus prüfen sie die Internetverbindung und passen ihren Ansatz je nach Netzwerkeinschränkungen an. Wenn der Zugriff eingeschränkt ist, versuchen sie Folgendes:

  • Verwenden Sie die Proxy-Einstellungen des Opfers, um eine Verbindung herzustellen.
  • Setzen Sie das Venom-Proxy-Tool ein, um isolierte Maschinen mit internetfähigen Systemen zu verbinden.

Eine anhaltende Bedrohung

Die kontinuierliche Weiterentwicklung und die ausgefeilten Taktiken von Lotus Panda zeigen, dass der Schädling weiterhin eine erhebliche Bedrohung im Internet darstellt. Seine Anpassungsfähigkeit, die Nutzung legitimer Dienste zu Tarnzwecken und die Durchführung langfristiger Spionageoperationen machen ihn zu einem ernstzunehmenden Gegner für Organisationen im asiatisch-pazifischen Raum und darüber hinaus.

Im Trend

Am häufigsten gesehen

Wird geladen...