De China-gekoppelde Cyber Espionage Group die wordt gevolgd als Lotus Panda is toegeschreven aan een campagne die meerdere organisaties in een naamloze Zuidoost-Aziatisch land tussen augustus 2024 en februari 2025 in gevaar bracht.
“Doelstellingen waren onder meer een ministerie van Government, een luchtverkeersleidingsorganisatie, een telecomoperator en een bouwbedrijf,” zei het Symantec Threat Hunter -team in een nieuw rapport gedeeld met The Hacker News. “De aanvallen betroffen het gebruik van meerdere nieuwe aangepaste tools, waaronder laders, referentie -stealers en een omgekeerde SSH -tool.”
De inbraakset zou ook een persbureau hebben gericht in een ander land in Zuidoost -Azië en een luchtvrachtorganisatie in een ander buurland.
Het dreigingscluster, de cybersecurity-divisie van de Broadcom, wordt beoordeeld als een voortzetting van een campagne die in december 2024 door het bedrijf is bekendgemaakt als een spraakmakende organisatie in Zuidoost-Azië sinds minstens oktober 2023.
Vorige maand verbond Cisco Talos de Lotus Panda -acteur met intrusies gericht op de overheid, productie-, telecommunicatie- en mediasectoren in de Filippijnen, Vietnam, Hong Kong en Taiwan met een achterdeur die bekend staat als Sagerunex.
Lotus Panda (ook bekend als Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon en Thrip) heeft een geschiedenis van het orkestreren van cyberaanvallen tegen regeringen en militaire organisaties in Zuidoost -Azië.
Geloofd dat hij sinds ten minste 2009 actief was, kwam de groep voor het eerst in juni 2015 onder de schijnwerpers, toen Palo Alto Networks de dreigingsacteur toeschreef aan een aanhoudende speer-phishing-campagne die een Microsoft Office-flaw explodeerde (CVE-2012-0158) om een backdeur te dubsbedden Elise (AKA-trensil) die is ontworpen om de commando’s en lees-/schrijfbestanden uit te voeren.
Daaropvolgende aanvallen die door de groep zijn gemonteerd, hebben een Microsoft Windows Ole FLAW (CVE-2014-6332) bewapend via een booby-ingepakte bijlage die in een speerpijn-e-mail is gestuurd naar een persoon die vervolgens werkt voor het Franse ministerie van Buitenlandse Zaken in Taiwan om een andere Trojan te implementeren die gerelateerd is aan ELISE CODEARY.
In de nieuwste golf van aanvallen van Symantec hebben de aanvallers legitieme uitvoerbare bestanden van Trend Micro (“TMDBGLog.exe”) en Bitdefender (“BDS.EXE”) gebruikt om kwaadaardige DLL-bestanden te sideload, die fungeren als laders om te decoderen en te lanceren een lading van het volgende stadium ingediend binnen een lokaal opgeslagen bestand.
De Bitdefender Binary is ook gebruikt om een andere DLL te sideloaden, hoewel de exacte aard van het bestand onduidelijk is. Een ander onbekend aspect van de campagne is de initiële toegangsvector die wordt gebruikt om de betreffende entiteiten te bereiken.
De aanvallen maakten de weg vrij voor een bijgewerkte versie van Sagerunex, een tool die uitsluitend wordt gebruikt door Lotus Panda. Het wordt geleverd met mogelijkheden om doelhostinformatie te oogsten, te coderen en de details te exfiltreren naar een externe server onder controle van de aanvaller.
Ook geïmplementeerd in de aanvallen zijn een omgekeerde SSH -tool, en twee referentie -stealers Chromekatz en CredentialKatz die zijn uitgerust met siphon -wachtwoorden en cookies die zijn opgeslagen in de Google Chrome -webbrowser.
“De aanvallers hebben de openbaar beschikbare Zrok peer-to-peer tool ingezet, met behulp van de deelfunctie van de tool om externe toegang te bieden aan diensten die intern werden blootgesteld,” zei Symantec. “Een ander legitieme hulpmiddel dat werd gebruikt, heette ‘datechanger.exe’. Het is in staat om tijdstempels voor bestanden te wijzigen, vermoedelijk om de wateren voor incidentanalisten te modderen.
