Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Variantes del malware Sagerunex

Variantes del malware Sagerunex

Por Mezo en Amenaza persistente avanzada (APT), Puertas traseras
Traducir a:
Español

El conocido actor de amenazas conocido como Lotus Panda ha lanzado ciberataques contra sectores gubernamentales, manufactureros, de telecomunicaciones y de medios de comunicación en Filipinas, Vietnam, Hong Kong y Taiwán. Estos ataques involucran versiones actualizadas de la puerta trasera Sagerunex , una cepa de malware que Lotus Panda ha estado aprovechando desde al menos 2016. El grupo APT (Advanced Persistent Threat) continúa refinando sus tácticas, empleando shells de comandos persistentes a largo plazo y desarrollando nuevas variantes de su arsenal de malware.

Un nombre conocido en el ciberespionaje

Lotus Panda, también conocido como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon y Thrip , es un supuesto colectivo de piratas informáticos chino que ha estado activo desde al menos 2009. Los investigadores de ciberseguridad expusieron públicamente sus operaciones por primera vez en junio de 2018, vinculando al grupo con una serie de campañas de ciberespionaje en Asia.

Una historia de intrusiones de alto perfil

A finales de 2022, los expertos en seguridad detallaron el ataque de Lotus Panda a una autoridad de certificación digital, así como a agencias gubernamentales y de defensa en toda Asia. Estas operaciones implicaron la implementación de puertas traseras sofisticadas como Hannotog y Sagerunex, lo que subraya la capacidad del grupo para comprometer instituciones críticas.

Puntos de entrada poco claros pero métodos de ataque conocidos

Se desconoce el método exacto que utilizó Lotus Panda para acceder a sus últimos objetivos. Sin embargo, el grupo tiene antecedentes de emplear ataques de tipo watering hole y spear-phishing para obtener acceso inicial. Una vez dentro, los atacantes implementan la puerta trasera Sagerunex, que se cree que es una evolución de una variante de malware más antigua conocida como Evora .

Tácticas evasivas: cómo aprovecharse de servicios legítimos

La actividad reciente relacionada con Lotus Panda ha revelado dos nuevas variantes "beta" de Sagerunex, identificadas por cadenas de depuración dentro de su código fuente. Estas versiones utilizan de forma inteligente servicios legítimos como Dropbox, X (más conocido como Twitter) y Zimbra como canales de Comando y Control (C2), lo que dificulta su detección.

Funciones avanzadas de puerta trasera

La puerta trasera Sagerunex está diseñada para recopilar información detallada sobre las máquinas infectadas, cifrarla y exfiltrarla a un servidor remoto controlado por los atacantes. Según se informa, las variantes Dropbox y X se utilizaron entre 2018 y 2022, mientras que la versión Zimbra ha estado operativa desde 2019.

Variante de Zimbra Webmail: un centro de control encubierto

La variante de correo web Zimbra de Sagerunex va más allá de la simple recopilación de datos. Permite a los atacantes enviar comandos a través del contenido de correo Zimbra, lo que permite controlar eficazmente las máquinas comprometidas. Si se detecta un comando legítimo en un correo electrónico, la puerta trasera lo extrae y lo ejecuta. De lo contrario, el malware elimina el correo electrónico y espera más instrucciones. Los resultados de los comandos ejecutados se empaquetan como archivos RAR y se almacenan en las carpetas de borradores y papelera del buzón de correo.

Un arsenal completo: herramientas adicionales en juego

Lotus Panda no depende únicamente de Sagerunex. El grupo implementa herramientas adicionales, entre las que se incluyen:

  • Un ladrón de cookies para recopilar credenciales del navegador Chrome.
  • Venom, una utilidad de proxy de código abierto.
  • Una herramienta de escalada de privilegios para obtener mayor acceso al sistema.
  • Software personalizado para comprimir y cifrar datos recopilados.

Reconocimiento de red y elusión de restricciones

Se ha observado que los atacantes ejecutan comandos de reconocimiento como net, tasklist, ipconfig y netstat para evaluar el entorno de destino. Además, comprueban la conectividad a Internet y ajustan su enfoque en función de las restricciones de la red. Si el acceso es limitado, intentan:

  • Utilice la configuración de proxy de la víctima para establecer una conexión.
  • Implemente la herramienta proxy Venom para vincular máquinas aisladas a sistemas accesibles a Internet.

Una amenaza continua

La continua evolución de Lotus Panda y sus tácticas sofisticadas indican que sigue siendo una amenaza cibernética importante. Su capacidad de adaptarse, aprovechar servicios legítimos para el sigilo y ejecutar operaciones de espionaje a largo plazo lo convierten en un adversario formidable para las organizaciones de la región de Asia y el Pacífico y más allá.

Tendencias

Mas Visto

Cargando...