СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.02.2025
#Dev#ИБ#Инфра#Облака

Кибершпионаж Lotus Blossom: бэкдор Sagerunex угрожает множеству секторов

Кибершпионаж Lotus Blossom: бэкдор Sagerunex угрожает множеству секторов

В отчете компании Cisco Talos исследуется серия кибершпионских кампаний, связанных с хакером, известным как Lotus Blossom. Эти кампании нацелены на ключевые сектора экономики, включая правительство, производство, телекоммуникации и СМИ. Особое внимание уделяется использованию мощного инструмента удаленного доступа (RAT) под названием Sagerunex, который активно применяется злоумышленником с 2016 года.

Долгосрочная угроза: хуже некуда

Деятельность Lotus Blossom наблюдается с 2012 года, и бэкдор Sagerunex стал неотъемлемой частью их атак. Вредоносная программа претерпела несколько модификаций, среди которых:

  • Введение динамически подключаемой библиотеки (DLL) для выполнения в памяти;
  • Изменение инфраструктуры управления (C2) с использованием облачных сервисов, таких как Dropbox и Twitter;
  • Запись специальных записей в реестр для запуска в качестве службы на зараженных компьютерах.

Новые методы и инструменты

Центральной задачей Lotus Blossom является создание новых версий Sagerunex, что подтверждает исследование Talos. Все версии бэкдора сохраняют высокий уровень сходства кода, указывая на их общее происхождение. Некоторые ключевые особенности новых вариантов включают:

  • Бета-версия с более детализированными строками отладки для сбора информации о хосте;
  • Использование API-интерфейсов Dropbox и Twitter для эксфильтрации данных, что указывает на приспособленный подход к передаче информации;
  • Применение персонализированных инструментов для кражи данных.

Пользовательские инструменты и техники

В рамках своих операций Lotus Blossom также использует различные пользовательские инструменты. Основные из них:

  • Программное обеспечение для кражи файлов cookie в Chrome для захвата учетных данных;
  • Модифицированные инструменты, такие как прокси-сервер Venom, для упрощения доступа к внешним сетям;
  • Инструмент «mtrain V1.01» для ретрансляции соединений изолированных компьютеров.

Сложный подход к кибершпионажу

Бэкдор Sagerunex тщательно оценивает состояние хоста перед установлением связи, антидетекционные меры включают:

  • Проверка системного времени и настроек прокси-сервера;
  • Систематическое выполнение команд для разведки и перемещения в сети;
  • Размещение вредоносной полезной нагрузки в доступных каталогах для обеспечения скрытного доступа.

К примеру, версия Zimbra Sagerunex, обнаруженная Talos, использует API Zimbra для фильтрации данных, синхронизируя информацию с учетной записью электронной почты пользователя. Этот подход позволяет злоумышленнику сохранять контроль над скомпрометированными системами с помощью законных команд электронной почты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: