Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Variantes du malware Sagerunex

Variantes du malware Sagerunex

Par Mezo en Menace persistante avancée (APT), Portes dérobées
Se traduisent par :
Français

Le célèbre acteur malveillant connu sous le nom de Lotus Panda a été observé en train de lancer des cyberattaques contre les secteurs gouvernementaux, manufacturiers, des télécommunications et des médias aux Philippines, au Vietnam, à Hong Kong et à Taiwan. Ces attaques impliquent des versions mises à jour de la porte dérobée Sagerunex , une souche de malware que Lotus Panda exploite depuis au moins 2016. Le groupe APT (Advanced Persistent Threat) continue d'affiner ses tactiques, en utilisant des shells de commande persistants à long terme et en développant de nouvelles variantes de son arsenal de malwares.

Un nom bien connu dans le domaine du cyberespionnage

Le Lotus Panda, également connu sous le nom de Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon et Thrip , est un collectif de pirates informatiques chinois présumé actif depuis au moins 2009. Les chercheurs en cybersécurité ont révélé publiquement ses opérations pour la première fois en juin 2018, reliant le groupe à une série de campagnes de cyberespionnage à travers l'Asie.

Une histoire d’intrusions de haut niveau

Fin 2022, des experts en sécurité ont détaillé l'attaque de Lotus Panda contre une autorité de certification numérique, ainsi que contre des agences gouvernementales et de défense dans toute l'Asie. Ces opérations ont impliqué le déploiement de portes dérobées sophistiquées telles que Hannotog et Sagerunex, soulignant la capacité du groupe à compromettre des institutions critiques.

Points d’entrée peu clairs mais méthodes d’attaque familières

La méthode précise utilisée par Lotus Panda pour pénétrer ses dernières cibles reste inconnue. Cependant, le groupe a l'habitude d'utiliser des attaques de type watering hole et spear-phishing pour obtenir un accès initial. Une fois à l'intérieur, les attaquants déploient la porte dérobée Sagerunex, qui semble être une évolution d'une ancienne variante de malware connue sous le nom d' Evora .

Tactiques d’évasion : exploiter des services légitimes

Une activité récente liée à Lotus Panda a révélé deux nouvelles variantes « bêta » de Sagerunex, identifiées par des chaînes de débogage dans leur code source. Ces versions utilisent astucieusement des services légitimes tels que Dropbox, X (mieux connu sous le nom de Twitter) et Zimbra comme canaux de commande et de contrôle (C2), ce qui rend la détection plus difficile.

Fonctionnalités avancées de porte dérobée

La porte dérobée Sagerunex est conçue pour collecter des informations détaillées sur les machines infectées, les crypter et les exfiltrer vers un serveur distant contrôlé par les attaquants. Les variantes Dropbox et X auraient été utilisées entre 2018 et 2022, tandis que la version Zimbra est opérationnelle depuis 2019.

Variante de Zimbra Webmail : un centre de contrôle secret

La variante de messagerie Web Zimbra de Sagerunex va au-delà de la simple collecte de données. Elle permet aux attaquants d'envoyer des commandes via le contenu de la messagerie Zimbra, contrôlant ainsi efficacement les machines compromises. Si une commande légitime est détectée dans un e-mail, la porte dérobée l'extrait et l'exécute. Dans le cas contraire, le malware supprime l'e-mail et attend d'autres instructions. Les résultats des commandes exécutées sont regroupés sous forme d'archives RAR et stockés dans les dossiers brouillon et corbeille de la boîte aux lettres.

Un arsenal complet : des outils supplémentaires en jeu

Le Lotus Panda ne s'appuie pas uniquement sur Sagerunex. Le groupe déploie des outils supplémentaires, notamment :

  • Un voleur de cookies pour récolter les informations d'identification du navigateur Chrome.
  • Venom, un utilitaire proxy open source.
  • Un outil d’escalade de privilèges pour obtenir un accès système plus élevé.
  • Logiciel personnalisé pour compresser et crypter les données collectées.

Reconnaissance du réseau et contournement des restrictions

Les attaquants ont été observés en train d'exécuter des commandes de reconnaissance telles que net, tasklist, ipconfig et netstat pour évaluer l'environnement cible. De plus, ils vérifient la connectivité Internet, en ajustant leur approche en fonction des restrictions du réseau. Si l'accès est limité, ils tentent de :

  • Utilisez les paramètres proxy de la victime pour établir une connexion.
  • Déployez l’outil proxy Venom pour relier des machines isolées à des systèmes accessibles à Internet.

Une menace permanente

L'évolution continue de Lotus Panda et ses tactiques sophistiquées indiquent qu'il reste une menace informatique importante. Sa capacité à s'adapter, à exploiter des services légitimes pour se faire discret et à exécuter des opérations d'espionnage à long terme en fait un adversaire redoutable pour les organisations de la région Asie-Pacifique et au-delà.

Tendance

Le plus regardé

Chargement...