СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
5 января
#ИБ

Lotus Blossom APT и бэкдор Sagerunex: целевой кибершпионаж

Lotus Blossom, также известная как Красная Саламандра или Lotus Panda, представляет собой сложную, целенаправленную угрозу (APT), связанную с Китаем и активную как минимум с 2009 года. Шпионско-ориентированная кампания нацелена на широкий спектр отраслей — государственные учреждения, телекоммуникации, военные и энергетические компании — прежде всего в Юго-Восточной Азии, но с проявлениями и в США и Канаде.

Кому интересна эта операция

Ориентация на дорогостоящие и стратегически важные секторы соответствует интересам операций, получающих государственную поддержку. Жертвы атак обычно представляют ценность для сбора разведданных и промышленного шпионажа.

Ядро операции — вредоносное ПО Sagerunex

В центре активности Lotus Panda находится вредоносное ПО Sagerunex, которое до сих пор не было широко описано в открытой литературе, несмотря на отдельные аналитические отчёты от компаний типа Symantec и Cisco Talos.

«Sagerunex действует как эффективный бэкдор, позволяющий удалённое выполнение команд, загрузку файлов и настройку параметров без жёстко заданных конфигураций.»

Sagerunex реализует гибкий механизм управления через аргументы командной строки: он создаёт файлы в заражённых системах для хранения конфигурации и по префиксам команд выполняет разные действия. Например, вредонос способен:

  • запускать исполняемые файлы;
  • подгружать библиотеки DLL;
  • выполнять команды оболочки через cmd.exe.

Связь с C2 и методы сокрытия

Коммуникация Sagerunex с инфраструктурой управления (C2) организована с использованием протокола WinHTTP. Первоначально вредонос пытается использовать системные настройки прокси по умолчанию; при неудаче применяются альтернативные методы обнаружения прокси-сервера.

Для повышения скрытности Sagerunex использует несколько приёмов:

  • имперсонация (подмена) токена Explorer, что позволяет получать доступ к ресурсам с правами вошедшего в систему пользователя без создания новых процессов;
  • возможность работы только в заданные временные интервалы, чтобы снизить вероятность обнаружения;
  • использование как легитимных, так и специально настроенных онлайн-сервисов для C2 — в том числе Dropbox и Twitter — что помогает маскировать трафик управления.

Значение угрозы

Комбинация гибкого бэкдора, умных методов обхода обнаружения и применения легитимных облачных сервисов повышает устойчивость кампании и усложняет её обнаружение. Наличие длительной активности с прицельной ориентацией на стратегически важные отрасли делает Lotus Blossom предметом серьёзной угрозы для организаций в регионе и за его пределами.

Вывод

Операция Lotus Blossom и её инструмент Sagerunex демонстрируют высокий уровень зрелости и адаптивности угрозы. Для противодействия таким кампаниям необходимы усиленный мониторинг сетевого трафика, контроль использования облачных сервисов в корпоративной среде и внимание к индексам компрометации, указанным в отчётах аналитиков (включая Symantec и Cisco Talos).

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: