Οι Κινέζοι hackers Lotus Panda, που ασχολούνται κυρίως με την κυβερνοκατασκοπεία, φέρεται να συνδέονται με μια εκστρατεία που παραβίασε πολλούς οργανισμούς σε χώρα της Νοτιοανατολικής Ασίας μεταξύ Αυγούστου 2024 και Φεβρουαρίου 2025.
“Οι στόχοι περιελάμβαναν ένα κυβερνητικό υπουργείο, έναν οργανισμό ελέγχου εναέριας κυκλοφορίας, έναν χειριστή τηλεπικοινωνιών και μια κατασκευαστική εταιρεία“, ανέφεραν ερευνητές της Symantec. “Οι επιθέσεις περιελάμβαναν τη χρήση πολλαπλών νέων custom εργαλείων, συμπεριλαμβανομένων loaders, credential stealers και ενός reverse SSH tool“.
Επίσης, λέγεται ότι οι επιτιθέμενοι στόχευσαν ένα πρακτορείο ειδήσεων σε άλλη χώρα της Νοτιοανατολικής Ασίας και έναν οργανισμό αεροπορικών μεταφορών εμπορευμάτων σε άλλη γειτονική χώρα.
Δείτε επίσης: Νέα ευπάθεια NTLM των Windows χρησιμοποιείται σε επιθέσεις
Πιστεύεται ότι αυτές οι επιθέσεις των Κινέζων hackers Lotus Panda αποτελούν συνέχεια μιας εκστρατείας που αποκαλύφθηκε από την εταιρεία τον Δεκέμβριο του 2024 και αφορούσε σε επιθέσεις που πραγματοποιούνταν τουλάχιστον από τον Οκτώβριο του 2023.
Τον περασμένο μήνα, η Cisco Talos συνέδεσε την ομάδα Lotus Panda με εισβολές που στόχευαν τομείς της κυβέρνησης, των κατασκευών, των τηλεπικοινωνιών και των μέσων ενημέρωσης στις Φιλιππίνες, το Βιετνάμ, το Χονγκ Κονγκ και την Ταϊβάν. Οι επιτιθέμενοι χρησιμοποιούσαν ένα backdoor γνωστό ως Sagerunex.
Οι hackers Lotus Panda (γνωστοί και ως Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon και Thrip) έχουν στοχεύσει και στο παρελθόν κυβερνήσεις και στρατιωτικούς οργανισμούς στη Νοτιοανατολική Ασία.
Πιστεύεται ότι η ομάδα είναι ενεργή τουλάχιστον από το 2009, αλλά τράβηξε την προσοχή τον Ιούνιο του 2015, όταν η Palo Alto Networks της απέδωσε μια εκστρατεία phishing που αξιοποιούσε μια ευπάθεια του Microsoft Office (CVE-2012-0158). Χάρη σε αυτή, οι hackers ήταν σε θέση να διανείμουν το backdoor Elise (aka Trensil) το οποίο μπορεί να εκτελεί εντολές και να διαβάζει και να γράφει αρχεία.
Επόμενες επιθέσεις των Κινέζων hackers Lotus Panda χρησιμοποίησαν ευπάθεια Microsoft Windows OLE (CVE-2014-6332) στα πλαίσια άλλης μιας phishing επίθεσης. Αυτή η επίθεση είχε στοχεύσει ένα άτομο που τότε εργαζόταν για το Γαλλικό Υπουργείο Εξωτερικών στην Ταϊβάν και στόχευε στην ανάπτυξη ενός trojan με το όνομα Emissary.
Στο τελευταίο κύμα επιθέσεων που εντόπισε η Symantec, οι εισβολείς έχουν αξιοποιήσει νόμιμα εκτελέσιμα αρχεία από την Trend Micro (“tmdbglog.exe”) και την Bitdefender (“bds.exe”) για να φορτώσουν κακόβουλα αρχεία DLL, τα οποία λειτουργούν ως loaders για την αποκρυπτογράφηση και την εκκίνηση ενός payload που είναι ενσωματωμένο σε ένα τοπικό αρχείο.
Το Bitdefender binary έχει χρησιμοποιηθεί και για την παράπλευρη φόρτωση ενός άλλου DLL, αν και η ακριβής φύση του αρχείου δεν είναι σαφής.
Οι ερευνητές παρατήρησαν ότι αυτές οι επιθέσεις άνοιξαν το δρόμο για μια ενημερωμένη έκδοση του Sagerunex, ενός εργαλείου που χρησιμοποιείται αποκλειστικά από τους Κινέζους hackers Lotus Panda. Έρχεται με δυνατότητες συλλογής πληροφοριών, κρυπτογράφησης και εξαγωγής στοιχείων σε έναν εξωτερικό διακομιστή υπό τον έλεγχο του εισβολέα.
Δείτε επίσης: Η Oracle διορθώνει 180 ευπάθειες με το CPU Απριλίου 2025
Όπως προείπαμε, στις επιθέσεις χρησιμοποιείται και ένα reverse SSH tool και δύο credential stealers (ChromeKatz και CredentialKatz), που κλέβουν κωδικούς πρόσβασης και cookies που είναι αποθηκευμένα στο πρόγραμμα περιήγησης ιστού Google Chrome.
“Επιπλέον, οι εισβολείς ανέπτυξαν το δημοσίως διαθέσιμο peer-to-peer εργαλείο Zrok, χρησιμοποιώντας τη λειτουργία κοινής χρήσης για να παρέχουν απομακρυσμένη πρόσβαση σε υπηρεσίες που εκτέθηκαν εσωτερικά“, δήλωσε η Symantec. “Ένα άλλο νόμιμο εργαλείο που χρησιμοποιήθηκε ονομαζόταν “datechanger.exe”. Είναι σε θέση να αλλάζει χρονικές σημάνσεις για αρχεία, προφανώς για να θολώσει τα νερά για τους αναλυτές περιστατικών“.
Οι Κινέζοι hackers αποτελούν σημαντική απειλή για οργανισμούς και κυβερνήσεις σε όλο τον κόσμο με τις εξαιρετικά προσαρμοστικές τεχνικές τους και τη χρήση προηγμένων εργαλείων. Για την προστασία από αυτές τις επιθέσεις, είναι σημαντικό για τους οργανισμούς να ενημερώνουν τακτικά τα συστήματά τους, να εφαρμόζουν ισχυρά μέτρα κυβερνοασφάλειας και να εκπαιδεύουν τους υπαλλήλους σχετικά με τις βέλτιστες πρακτικές ασφαλείας.
Δείτε επίσης: Ευπάθεια WordPress Plugin με 100.000+ εγκαταστάσεις αξιοποιείται ενεργά
Επιπλέον, οι κυβερνήσεις πρέπει να λάβουν μέτρα για την ενίσχυση της άμυνας στον κυβερνοχώρο και να συνεργαστούν με άλλα έθνη για την καταπολέμηση αυτής της αυξανόμενης απειλής. Είναι ζωτικής σημασίας να παραμείνουμε σε επαγρύπνηση για να αποτρέψουμε επιθέσεις των Κινέζων hackers και να προστατεύσουμε τις ευαίσθητες πληροφορίες μας.
Πηγή: thehackernews.com
