複数ライセンス割引見積
脅威データベース 高度な持続的脅威 (APT) Sagerunex マルウェアの亜種

Sagerunex マルウェアの亜種

高度な持続的脅威 (APT), バックドアMezoまで
翻訳内容:
日本語

ロータス パンダとして知られる悪名高い脅威アクターが、フィリピン、ベトナム、香港、台湾の政府、製造、通信、メディア部門にサイバー攻撃を仕掛けていることが確認されています。これらの攻撃には、ロータス パンダが少なくとも 2016 年から利用しているマルウェア ストレインであるSagerunexバックドアの更新バージョンが関係しています。APT (Advanced Persistent Threat) グループは、長期持続型コマンド シェルを使用し、マルウェア兵器の新しい亜種を開発しながら、戦術を改良し続けています。

サイバースパイ活動で有名な人物

ロータス・パンダは、ビルバグ、ブロンズ・エルギン、ロータス・ブロッサム、スプリング・ドラゴン、スリップとも呼ばれ、少なくとも2009年から活動している中国のハッキング集団と疑われている。サイバーセキュリティ研究者らは2018年6月に初めて同集団の活動を公表し、同集団がアジア全域にわたる一連のサイバースパイ活動に関与していると主張した。

注目を浴びた侵入事件の歴史

2022年後半、セキュリティ専門家は、ロータス・パンダによるデジタル認証局やアジア全域の政府機関、防衛機関への攻撃の詳細を明らかにした。これらの攻撃には、 HannotogやSagerunexなどの高度なバックドアの導入が含まれており、同グループが重要な機関を侵害する能力があることを浮き彫りにしている。

侵入ポイントは不明だが、攻撃方法はよく知られている

ロータス パンダが最新の標的に侵入するために使用した正確な手法は不明です。しかし、このグループは、最初のアクセスを得るために水飲み場型攻撃やスピアフィッシング攻撃を行ってきた経歴があります。侵入すると、攻撃者は Sagerunex バックドアを展開します。これは、 Evoraとして知られる古いマルウェアの亜種の進化形であると考えられています。

回避策:合法的なサービスの悪用

Lotus Panda に関連する最近の活動により、ソース コード内のデバッグ文字列によって識別される、Sagerunex の新しい「ベータ」亜種が 2 つ明らかになりました。これらのバージョンは、Dropbox、X (Twitter としてよく知られています)、Zimbra などの正当なサービスをコマンド アンド コントロール (C2) チャネルとして巧妙に使用しているため、検出がさらに困難になっています。

高度なバックドア機能

Sagerunex バックドアは、感染したマシンに関する詳細な情報を収集し、それを暗号化して、攻撃者が管理するリモート サーバーに流出させるように設計されています。Dropbox と X の亜種は 2018 年から 2022 年にかけて使用されていたと報告されており、Zimbra バージョンは 2019 年から運用されています。

Zimbra ウェブメールの亜種: 秘密のコントロールハブ

Sagerunex の Zimbra ウェブメール バリアントは、単なるデータ収集にとどまりません。攻撃者は Zimbra メール コンテンツを介してコマンドを送信し、侵入先のマシンを効果的に制御できます。メールに正当なコマンドが検出されると、バックドアがそれを抽出して実行します。そうでない場合、マルウェアはメールを削除し、次の指示を待ちます。実行されたコマンドの結果は RAR アーカイブとしてパッケージ化され、メールボックスの下書きフォルダーとゴミ箱フォルダーに保存されます。

完全な武器庫: 追加のツールが活躍

Lotus Panda は Sagerunex だけに依存しているわけではありません。同グループは次のような追加のツールも導入しています。

  • Chrome ブラウザの認証情報を収集する Cookie スティーラー。
  • オープンソースのプロキシユーティリティ、Venom。
  • より高いシステムアクセスを取得するための権限昇格ツール。
  • 収集されたデータを圧縮および暗号化するためのカスタム ソフトウェア。

ネットワーク偵察と制限の回避

攻撃者は、net、tasklist、ipconfig、netstat などの偵察コマンドを実行して、ターゲット環境を評価していることが確認されています。さらに、インターネット接続をチェックし、ネットワーク制限に基づいてアプローチを調整します。アクセスが制限されている場合、次の操作を試みます。

  • 被害者のプロキシ設定を使用して接続を確立します。
  • Venom プロキシ ツールを展開して、分離されたマシンをインターネットにアクセス可能なシステムにリンクします。

進行中の脅威

Lotus Panda の継続的な進化と洗練された戦術は、それが依然として重大なサイバー脅威であることを示しています。適応能力、ステルスのための正規サービスの利用、長期的なスパイ活動の実行能力により、アジア太平洋地域およびそれ以外の地域の組織にとって、Lotus Panda は手強い敵となっています。

トレンド

Omega Ad Blocker

望ましくない可能性のあるプログラム, アドウェア
侵入的で信頼できないソフトウェアからデバイスを保護することは、オンライン セキュリティの重要な側面です。便利なツールとして宣伝されている多くのプログラムには、ユーザーのプライバシーを侵害し、ブラウジング体験を妨害する隠れた機能が付属していることがよくあります。Omega Ad Blocker はその一例です。これは、広告をブロックすると謳っていますが、アドウェアに関連する動作を示すブラウザー...

AMC Ransomware

ランサムウェア
AMCランサムウェアは、攻撃的な攻撃キャンペーンでサイバー犯罪者が使用する可能性のあるもう1つのマルウェアの脅威のようです。コンピューターに正常に展開された場合、脅威は広範囲の暗号化ルーチンを実行し、デバイス上で見つかったほぼすべてのファイルをロックします。被害者は、データベース、アーカイブ、ドキュメント、画像などにアクセスできなくなったことに気付くでしょう。 侵入的な活動の一環として、AM...

Plebeianness.app

アドウェア, Mac マルウェア, 望ましくない可能性のあるプログラム
サイバーセキュリティの世界は常に進化しており、Mac ユーザーであっても安全でないソフトウェアによってもたらされる脅威を免れることはできません。最近悪名が高まっているトラブルメーカーの 1 つは、Mac システムに侵入するアドウェアおよびマルウェアの 1 つである Plebeianness.app で、迷惑なポップアップ広告から潜在的なプライバシー侵害まで、さまざまな問題を引き起こします。こ...

最も見られました

Discord 灰色の画面で立ち往生

問題
70,876
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,528
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
58,545
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...