Lotus Panda: Антивирус? Спасибо, загрузим вирус с него
NewsMakerМинистерства, стройка и новости — что объединяет жертв милого животного?
Группировка Lotus Panda, связываемая с Китаем, вновь оказалась в центре внимания после масштабной кампании, охватившей сразу несколько организаций в странах Юго-Восточной Азии. Symantec зафиксировала активность хакеров с августа 2024 года по февраль 2025 года, и среди жертв оказались министерство, организация по управлению воздушным движением, телекоммуникационный оператор и строительная компания. При этом атаки затронули не одну страну региона — целью также стали новостное агентство и логистическая компания в соседних государствах.
Текущая волна атак представляет собой продолжение более ранней кампании, которая стартовала как минимум в октябре 2023 года и была впервые раскрыта в декабре 2024 года. Уже тогда стало ясно, что речь идёт о хорошо организованной и длительной операции с чётким геополитическим вектором.
Lotus Panda (Billbug, Bronze Elgin, Spring Dragon) давно специализируется на атаках против правительственных и военных структур в Юго-Восточной Азии. По некоторым оценкам, группа активна с 2009 года, а деятельность впервые широко освещалась в 2015 году, когда была связана с рассылкой вредоносных документов, использующих уязвимость CVE-2012-0158 (оценка CVSS: 8.8) в Microsoft Office для распространения бэкдора Elise (Trensil), чтобы выполнять команды и читать/записывать файлы.
Последующие атаки использовали уязвимость Microsoft Windows OLE CVE-2014-6332 (оценка CVSS: 9.3) с помощью вредоносного вложения в письме сотруднику МИД Франции на Тайване для развертывания еще одного трояна Emissary.
С тех пор арсенал Lotus Panda значительно расширился. Новая серия атак отличается использованием специально разработанных средств — загрузчиков, троянов и инструментов удалённого доступа. В частности, злоумышленники использовали файлы от антивирусных решений Trend Micro и Bitdefender, чтобы под их видом запускать вредоносные DLL-библиотеки. Библиотеки расшифровывали и активировали следующий этап заражения, скрытый в локальных файлах. Конкретный способ первичного проникновения в инфраструктуру жертв пока не установлен.
Центральным элементом атак стал обновлённый бэкдор Sagerunex — фирменный инструмент группы, способный собирать данные о системе, шифровать их и отправлять на внешний сервер. Вместе с ним использовались реверс-инструмент на базе SSH, а также два специализированных сборщика паролей и куки-файлов из браузера Google Chrome — ChromeKatz и CredentialKatz.
Интересной деталью стало применение открытого P2P-инструмента Zrok, с помощью которого хакеры обеспечивали себе доступ к внутренним сервисам жертв, маскируя движение данных. Дополнительно фиксировалось использование утилиты datechanger.exe, изменяющей временные метки файлов — вероятно, для усложнения анализа инцидента и сокрытия следов атаки.
На фоне активности Lotus Panda специалисты вновь подчёркивают важность детального мониторинга систем, особенно в стратегически важных отраслях. Использование легитимного ПО в сочетании с кастомными разработками делает подобные кампании особенно трудными для обнаружения и требует комплексного подхода к защите.
Группировка Lotus Panda, связываемая с Китаем, вновь оказалась в центре внимания после масштабной кампании, охватившей сразу несколько организаций в странах Юго-Восточной Азии. Symantec зафиксировала активность хакеров с августа 2024 года по февраль 2025 года, и среди жертв оказались министерство, организация по управлению воздушным движением, телекоммуникационный оператор и строительная компания. При этом атаки затронули не одну страну региона — целью также стали новостное агентство и логистическая компания в соседних государствах.
Текущая волна атак представляет собой продолжение более ранней кампании, которая стартовала как минимум в октябре 2023 года и была впервые раскрыта в декабре 2024 года. Уже тогда стало ясно, что речь идёт о хорошо организованной и длительной операции с чётким геополитическим вектором.
Lotus Panda (Billbug, Bronze Elgin, Spring Dragon) давно специализируется на атаках против правительственных и военных структур в Юго-Восточной Азии. По некоторым оценкам, группа активна с 2009 года, а деятельность впервые широко освещалась в 2015 году, когда была связана с рассылкой вредоносных документов, использующих уязвимость CVE-2012-0158 (оценка CVSS: 8.8) в Microsoft Office для распространения бэкдора Elise (Trensil), чтобы выполнять команды и читать/записывать файлы.
Последующие атаки использовали уязвимость Microsoft Windows OLE CVE-2014-6332 (оценка CVSS: 9.3) с помощью вредоносного вложения в письме сотруднику МИД Франции на Тайване для развертывания еще одного трояна Emissary.
С тех пор арсенал Lotus Panda значительно расширился. Новая серия атак отличается использованием специально разработанных средств — загрузчиков, троянов и инструментов удалённого доступа. В частности, злоумышленники использовали файлы от антивирусных решений Trend Micro и Bitdefender, чтобы под их видом запускать вредоносные DLL-библиотеки. Библиотеки расшифровывали и активировали следующий этап заражения, скрытый в локальных файлах. Конкретный способ первичного проникновения в инфраструктуру жертв пока не установлен.
Центральным элементом атак стал обновлённый бэкдор Sagerunex — фирменный инструмент группы, способный собирать данные о системе, шифровать их и отправлять на внешний сервер. Вместе с ним использовались реверс-инструмент на базе SSH, а также два специализированных сборщика паролей и куки-файлов из браузера Google Chrome — ChromeKatz и CredentialKatz.
Интересной деталью стало применение открытого P2P-инструмента Zrok, с помощью которого хакеры обеспечивали себе доступ к внутренним сервисам жертв, маскируя движение данных. Дополнительно фиксировалось использование утилиты datechanger.exe, изменяющей временные метки файлов — вероятно, для усложнения анализа инцидента и сокрытия следов атаки.
На фоне активности Lotus Panda специалисты вновь подчёркивают важность детального мониторинга систем, особенно в стратегически важных отраслях. Использование легитимного ПО в сочетании с кастомными разработками делает подобные кампании особенно трудными для обнаружения и требует комплексного подхода к защите.