Lotus Blossom: Новые угрозы кибершпионажа в АТР

Lotus Blossom: Новые угрозы кибершпионажа в АТР

Источник: www.picussecurity.com

Lotus Blossom, также известная как Lotus Panda, представляет собой китайскую APT-группу, которая на протяжении последних десяти лет активно занимается кибершпионажем. Недавно группа внедрила новые варианты бэкдора Sagerunex, созданного для сложных атак на правительства стран Азиатско-Тихоокеанского региона.

Эволюция тактики и новые технологии

Новые версии Sagerunex демонстрируют заметные изменения в тактике работы группы, особенно в области командно-диспетчерских коммуникаций (C2). В частности, теперь Lotus Blossom использует законные облачные сервисы и платформы социальных сетей, такие как:

  • Dropbox
  • Twitter
  • Zimbra

Это позволяет избежать обнаружения и эффективно маскировать свои действия.

Методы проникновения и внутренние операции

Группа использует многогранную цепочку убийств, начиная с первоначального доступа, который обычно достигается с помощью методов социальной инженерии, а также уязвимостей в общедоступных приложениях. При попадании внутрь сети, Lotus Blossom использует:

  • Windows Management Instrumentation (WMI) для горизонтального перемещения;
  • Инструменты для выполнения разведывательных команд, таких как «список задач» и «netstat».

Они применяют различные утилиты, включая архиваторы RAR, пользовательские прокси-инструменты, такие как Venom, и перехватчики файлов cookie Chrome.

Безопасность и методы обфускации

Для обеспечения устойчивости, Lotus Blossom устанавливает бэкдор Sagerunex в реестр Windows, настраивая его как службу. Группа использует существующие имена служб Windows для обеспечения скрытности. Сами методы обфускации, включая VMProtect, усложняют обратное проектирование и обход механизмов обнаружения.

Используя программу для кражи файлов cookie, интегрированную с PyInstaller, они способны извлекать конфиденциальные данные из браузера, что упрощает дальнейшее перемещение по сети.

Рекомендации по защите

Чтобы смягчить угрозы от Lotus Blossom, организациям рекомендуется:

  • Внедрять многоуровневую стратегию защиты;
  • Использовать современные платформы обнаружения конечных точек и реагирования на них (EDR);
  • Проводить регулярное моделирование сценариев атак для повышения уровня безопасности.

Такие меры помогут выявлять подозрительные действия, такие как несанкционированные изменения реестра и зашифрованные сообщения с внешними службами, а также подготовят организации к борьбе с изощренными хакерами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: