لوتوس پاندا دولت های آسیایی SE را با دزدهای مرورگر و بدافزارهای جانبی هک می کند

گروه جاسوسی سایبری مرتبط با چین که به نام Lotus Panda شناخته می‌شود، به کمپینی نسبت داده شده که بین آگوست ۲۰۲۴ و فوریه ۲۰۲۵، چندین سازمان را در یک کشور نامشخص جنوب شرق آسیا مورد حمله قرار داده است.

هدف‌ها شامل یک وزارتخانه دولتی، یک سازمان کنترل ترافیک هوایی، یک اپراتور تلکام، و یک شرکت ساخت و ساز بودند، تیم شکار تهدید سیمنتک در گزارشی جدید که با The Hacker News به اشتراک گذاشته است، گفت: «این حملات شامل استفاده از چندین ابزار سفارشی جدید، از جمله لودرها، دزدهای اعتبار، و ابزاری معکوس SSH بود.»

گفته می‌شود که این مجموعه با نفوذ به یک آژانس خبری در کشور دیگر جنوب شرق آسیا و یک سازمان حمل و نقل هوایی در کشور همسایه دیگری را هدف قرار داده است.

بر اساس ارزیابی بخش امنیت سایبری Broadcom، خوشه تهدید به عنوان یک ادامه کمپینی ارزیابی شده که توسط این شرکت در دسامبر ۲۰۲۴ به عنوان یک سازمان با پروفایل درست در جنوب شرق آسیا از اکتبر ۲۰۲۳ بارگذاری شده است.

سپس در ماه گذشته، Cisco Talos عامل Lotus Panda را با نفوذهایی که به بخش‌های دولتی، صنعتی، مخابراتی و رسانه‌ای در فیلیپین، ویتنام، هنگ کنگ و تایوان با یک درب پشتی به نام Sagerunex مرتبط کرد.

Lotus Panda: که به نام‌های Billbug، Bronze Elgin، Lotus Blossom، Spring Dragon، و Thrip نیز شناخته می‌شود سابقه‌ای در طراحی حملات سایبری علیه دولت‌ها و سازمان‌های نظامی در جنوب شرق آسیا دارد.

باور بر این است که این گروه از سال ۲۰۰۹ فعال بوده و برای اولین بار در ژوئن ۲۰۱۵ در کانون توجه قرار گرفت، زمانی که Palo Alto Networks تهدیدکننده را به یک کمپین مداوم فیشینگ هدفمند نسبت داد که نقصی در Microsoft Office (CVE-2012-0158) را به منظور توزیع یک درب مخفی به نام Elise (که به نام Trensil نیز شناخته می‌شود) که برای اجرای دستورات و خواندن/نوشتن فایل‌ها طراحی شده بود، بهره‌برداری کرد.

حملات بعدی که توسط این گروه انجام شد، نقص OLE در Microsoft Windows (CVE-2014-6332) را از طریق یک پیوست تله‌گذاری شده که در یک ایمیل فیشینگ هدفمند به فردی که سپس برای وزارت امور خارجه فرانسه در تایوان کار می‌کرد، ارسال شده، مسلح کرد تا تروانی دیگر مرتبط با Elise به نام Emissary را راه‌اندازی کند.

در آخرین موج حملات که توسط سیمنتک مشاهده شد، حمله‌کنندگان از اجرایی‌های قانونی Trend Micro («tmdbglog. exe») و Bitdefender («bds. exe») برای بارگذاری فایل‌های DLL مخرب استفاده کرده‌اند، که به عنوان لودر عمل کرده و بارگذاری مرحله بعدی را که در یک فایل محلی ذخیره شده است، رمزگشایی و اجرا می‌کنند.

باینری Bitdefender نیز برای بارگذاری یک DLL دیگر استفاده شده، اگرچه ماهیت دقیق فایل مشخص نیست. جنبه دیگر ناشناخته این کمپین، وکتور دسترسی اولیه است که برای دستیابی به نهادهای مورد نظر استفاده شده است.

حملات راه را برای نسخه به‌روزرسانی شده Sagerunex هموار کرد، ابزاری که به طور انحصاری توسط Lotus Panda استفاده می‌شود. این ابزار قابلیت‌هایی برای جمع‌آوری اطلاعات میزبان هدف، رمزگذاری آن و از بین بردن جزئیات به یک سرور خارجی تحت کنترل حمله‌کننده دارد.

همچنین در حملات، ابزاری معکوس SSH و دو دزد اعتبار ChromeKatz و CredentialKatz نیز به کار گرفته شده‌اند که برای برقراری دسترسی به رمزهای عبور و کوکی‌های ذخیره‌شده در مرورگر وب Google Chrome طراحی شده‌اند.

حمله‌کنندگان از ابزار همتا به همتای Zrok که به طور عمومی در دسترس است، استفاده کردند و از عملکرد اشتراک‌گذاری این ابزار برای ارائه دسترسی از راه دور به سرویس‌هایی که به طور داخلی در دسترس بودند، بهره بردند.
سیمنتک گفت: ابزار قانونی دیگری که استفاده شد «datechanger. exe» نام داشت.
این ابزار قادر است زمان‌های مربوط به فایل‌ها را تغییر دهد، به احتمال زیاد به منظور مخدوش کردن وضعیت برای تحلیلگران حادثه به کار گرفته شده است.