Aktor ancaman yang dikenal sebagai Panda Teratus telah diamati menargetkan sektor pemerintah, manufaktur, telekomunikasi, dan media di Filipina, Vietnam, Hong Kong, dan Taiwan dengan versi terbaru dari pintu belakang yang dikenal bernama Sagerunex.
“Lotus Blossom telah menggunakan backdoor Sagerunex sejak setidaknya 2016 dan semakin menggunakan kerang perintah kegigihan jangka panjang dan mengembangkan varian baru dari Sagerunex Malware Suite,” kata peneliti Cisco Talos Joey Chen dalam analisis yang diterbitkan minggu lalu.
Lotus Panda, juga dikenal sebagai Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon, dan Thrip, adalah kru peretasan Tiongkok yang dicurigai yang aktif sejak setidaknya 2009. Aktor ancaman pertama kali diekspos oleh Symantec pada Juni 2018.
Pada akhir 2022, Symantec milik Broadcom merinci serangan aktor ancaman terhadap otoritas sertifikat digital serta lembaga pemerintah dan pertahanan yang berlokasi di berbagai negara di Asia yang melibatkan penggunaan pintu belakang seperti Hannotog dan Sagerunex.
Vektor akses awal yang tepat yang digunakan untuk melanggar entitas dalam rangkaian intrusi terbaru tidak diketahui, meskipun memiliki riwayat melakukan serangan tombak dan penyiraman lubang. Jalur serangan yang tidak ditentukan berfungsi sebagai saluran untuk implan Sagerunex, yang dinilai sebagai evolusi malware billbug yang lebih tua yang dikenal sebagai Evora.
Kegiatan ini patut diperhatikan untuk penggunaan dua varian “beta” baru dari malware, yang memanfaatkan layanan yang sah seperti Dropbox, X, dan Zimbra sebagai terowongan perintah-dan-kontrol (C2) untuk menghindari deteksi. Mereka telah disebut karena adanya string debug dalam kode sumber.
Backdoor dirancang untuk mengumpulkan informasi host target, mengenkripsi, dan mengeluarkan detail ke server jarak jauh di bawah kendali penyerang. Versi Dropbox dan X dari Sagerunex diyakini telah digunakan antara 2018 dan 2022, sedangkan versi Zimbra dikatakan telah ada sejak 2019.
“Sagerunex versi webmail Zimbra tidak hanya dirancang untuk mengumpulkan informasi korban dan mengirimkannya ke kotak surat Zimbra tetapi juga untuk memungkinkan aktor menggunakan konten surat Zimbra untuk memberikan pesanan dan mengendalikan mesin korban,” kata Chen.
“Jika ada konten perintah perintah yang sah di kotak surat, backdoor akan mengunduh konten dan mengekstrak perintah, jika tidak, backdoor akan menghapus konten dan menunggu perintah yang sah.”
Hasil eksekusi perintah kemudian dikemas dalam bentuk arsip RAR dan dilampirkan pada konsep email dalam folder draft dan sampah kotak surat.
Juga digunakan dalam serangan adalah alat lain seperti pencuri cookie untuk memanen kredensial browser chrome, utilitas proxy open-source bernama Venom, sebuah program untuk menyesuaikan hak istimewa, dan perangkat lunak yang dipesan lebih dahulu untuk mengompres dan mengenkripsi data yang ditangkap.
Selain itu, aktor ancaman telah diamati menjalankan perintah seperti NET, Daftar Tugas, IPConfig, dan NetStat untuk melakukan pengintaian lingkungan target, selain melakukan cek untuk memastikan akses internet.
“Jika akses internet dibatasi, maka aktor memiliki dua strategi: menggunakan pengaturan proxy target untuk membuat koneksi atau menggunakan alat proxy racun untuk menautkan mesin yang terisolasi ke sistem yang dapat diakses internet,” kata Talos.
