Lotus Blossom: Новые угрозы кибершпионажа в АТР

Источник: www.picussecurity.com
Lotus Blossom, также известная как Lotus Panda, представляет собой китайскую APT-группу, которая на протяжении последних десяти лет активно занимается кибершпионажем. Недавно группа внедрила новые варианты бэкдора Sagerunex, созданного для сложных атак на правительства стран Азиатско-Тихоокеанского региона.
Эволюция тактики и новые технологии
Новые версии Sagerunex демонстрируют заметные изменения в тактике работы группы, особенно в области командно-диспетчерских коммуникаций (C2). В частности, теперь Lotus Blossom использует законные облачные сервисы и платформы социальных сетей, такие как:
- Dropbox
- Zimbra
Это позволяет избежать обнаружения и эффективно маскировать свои действия.
Методы проникновения и внутренние операции
Группа использует многогранную цепочку убийств, начиная с первоначального доступа, который обычно достигается с помощью методов социальной инженерии, а также уязвимостей в общедоступных приложениях. При попадании внутрь сети, Lotus Blossom использует:
- Windows Management Instrumentation (WMI) для горизонтального перемещения;
- Инструменты для выполнения разведывательных команд, таких как «список задач» и «netstat».
Они применяют различные утилиты, включая архиваторы RAR, пользовательские прокси-инструменты, такие как Venom, и перехватчики файлов cookie Chrome.
Безопасность и методы обфускации
Для обеспечения устойчивости, Lotus Blossom устанавливает бэкдор Sagerunex в реестр Windows, настраивая его как службу. Группа использует существующие имена служб Windows для обеспечения скрытности. Сами методы обфускации, включая VMProtect, усложняют обратное проектирование и обход механизмов обнаружения.
Используя программу для кражи файлов cookie, интегрированную с PyInstaller, они способны извлекать конфиденциальные данные из браузера, что упрощает дальнейшее перемещение по сети.
Рекомендации по защите
Чтобы смягчить угрозы от Lotus Blossom, организациям рекомендуется:
- Внедрять многоуровневую стратегию защиты;
- Использовать современные платформы обнаружения конечных точек и реагирования на них (EDR);
- Проводить регулярное моделирование сценариев атак для повышения уровня безопасности.
Такие меры помогут выявлять подозрительные действия, такие как несанкционированные изменения реестра и зашифрованные сообщения с внешними службами, а также подготовят организации к борьбе с изощренными хакерами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



