تم رصد مجموعة القرصنة المعروفة باسم Lotus Panda وهي تستهدف قطاعات حكومية وصناعية واتصالات وإعلام في الفلبين وفيتنام وهونغ كونغ وتايوان باستخدام إصدارات محدثة من برمجية خبيثة تُعرف باسم Sagerunex.
وقال الباحث في شركة Cisco Talos، جوي تشين، في تحليل نُشر الأسبوع الماضي: “إن مجموعة Lotus Blossom (المعروفة أيضًا باسم Lotus Panda) تستخدم برمجية Sagerunex الخبيثة منذ عام 2016 على الأقل، وهي تعتمد بشكل متزايد على أوامر تنفيذ طويلة الأمد وتطوير متغيرات جديدة من مجموعة برمجيات Sagerunex الضارة.”
تُعرف Lotus Panda أيضًا بأسماء أخرى مثل Billbug وBronze Elgin وSpring Dragon وThrip، وهي مجموعة قرصنة يُشتبه في ارتباطها بالصين وتنشط منذ عام 2009 على الأقل. تم الكشف عن هذه المجموعة لأول مرة من قبل شركة Symantec في يونيو 2018.
تفاصيل الهجمات:
في أواخر عام 2022، كشفت شركة Symantec (المملوكة لشركة Broadcom) عن هجمات هذه المجموعة التي استهدفت سلطة إصدار الشهادات الرقمية بالإضافة إلى وكالات حكومية ودفاعية في دول آسيوية مختلفة، حيث استخدمت برمجيات خلفية مثل Hannotog وSagerunex.
على الرغم من أن طريقة الوصول الأولية التي استخدمتها المجموعة لاختراق الكيانات في أحدث الهجمات غير معروفة، إلا أن لديها تاريخًا في تنفيذ هجمات التصيد الاحتيالي (Spear-Phishing) وهجمات “حفرة الري” (Watering Hole). وتعمل هذه الطرق كقناة لتنفيذ برمجية Sagerunex، التي يُعتقد أنها تطور لبرمجية خبيثة أقدم تُعرف باسم Evora.
إصدارات جديدة من البرمجية الخبيثة:
تميزت هذه الهجمات باستخدام إصدارين جديدين من برمجية Sagerunex، يُطلق عليهما “بيتا”، حيث تعتمد هذه الإصدارات على خدمات شرعية مثل Dropbox وX (تويتر سابقًا) وZimbra كنقاط اتصال للتحكم والسيطرة (C2) لتجنب الكشف. وقد تم تسميتها بهذا الاسم بسبب وجود سلاسل تصحيح (Debug Strings) في الكود المصدري.
تم تصميم البرمجية الخلفية لجمع معلومات عن الجهاز المستهدف، وتشفيرها، ثم نقلها إلى خادم بعيد يتحكم فيه المهاجم. يُعتقد أن إصدارات Dropbox وX من Sagerunex تم استخدامها بين عامي 2018 و2022، بينما كان إصدار Zimbra قيد الاستخدام منذ عام 2019.
وأضاف تشين: “إن إصدار Zimbra من Sagerunex مصمم ليس فقط لجمع معلومات الضحية وإرسالها إلى صندوق بريد Zimbra، ولكن أيضًا للسماح للمهاجم باستخدام محتوى البريد الإلكتروني لإصدار الأوامر والتحكم في الجهاز المستهدف.”
آلية العمل:
إذا كان هناك أمر شرعي في صندوق البريد، تقوم البرمجية بتنزيل المحتوى واستخراج الأمر، وإلا فإنها تحذف المحتوى وتنتظر أمرًا شرعيًا. يتم بعد ذلك تعبئة نتائج تنفيذ الأوامر في شكل أرشيف RAR وإرفاقها ببريد إلكتروني مسود في مجلدات المسودات والمهملات في صندوق البريد.
أدوات إضافية:
كما تم استخدام أدوات أخرى في الهجمات، مثل أداة لسرقة ملفات تعريف الارتباط (Cookies) من متصفح Chrome، وأداة وكيل مفتوحة المصدر تُسمى Venom، وبرنامج لضبط الصلاحيات، وبرمجيات مخصصة لضغط وتشفير البيانات المسروقة.
استراتيجيات التهرب:
لاحظ الباحثون أن المجموعة تقوم بتنفيذ أوامر مثل net وtasklist وipconfig وnetstat لإجراء استطلاع للبيئة المستهدفة، بالإضافة إلى التحقق من إمكانية الوصول إلى الإنترنت. وإذا كان الوصول إلى الإنترنت مقيدًا، فإن المجموعة تستخدم إما إعدادات الوكيل (Proxy) الخاصة بالهدف أو أداة Venom لربط الأجهزة المعزولة بأنظمة يمكنها الوصول إلى الإنترنت.
والحقيقة أن هذه الهجمات تُظهر تطورًا كبيرًا في تكتيكات مجموعة Lotus Panda، مما يجعلها تهديدًا خطيرًا على القطاعات الحكومية والحيوية في منطقة آسيا والمحيط الهادئ. يُنصح المؤسسات بتعزيز إجراءات الأمن السيبراني ومراقبة الأنشطة المشبوهة على شبكاتها.
