FIN7、FIN8等组织使用Ragnar Loader进行持久访问和勒索软件攻击

Talos 研究人员发布报告，Lotus Blossom APT（又名 Elise 和 Esile）与利用 Sagerunex 后门针对政府、制造业、电信和媒体等行业的多个组织发起的攻击活动有关。这些攻击的受害者分布在亚太多个敏感地区。

该组织至少自 2012 年起就开始活跃，并至少自 2016 年起就开始使用 Sagerunex 后门。

Talos 观察到该 APT 组织在针对电信、媒体、政府和制造业的攻击中使用了两种新的 Sagerunex 后门变种。这些变种使用 Dropbox、Twitter 和 Zimbra 等云服务作为 C2，取代了原有的 VPS 方法。

这些变体旨在收集、加密并泄露目标主机信息到攻击者控制的远程服务器。Dropbox 和 X 版本在 2018 年至 2022 年期间使用，而 Zimbra 版本自 2019 年以来一直活跃。

详细的恶意软件分析揭示了配置和潜在的主机路径。

Talos 发布的报告中写道：“调查发现了 Sagerunex 后门的两个新变种，它们是在针对电信和媒体公司的攻击中检测到的，此外还有许多在政府和制造业中持续存在的 Sagerunex 变种。”

这些新变种不再依赖原有的虚拟专用服务器 (VPS) 作为其 C2 服务器。它们使用第三方云服务（如 Dropbox、Twitter和 Zimbra 开源网络邮件服务）作为 C2 隧道来逃避检测。

Talos深入研究每个 Sagerunex 后门变种的技术细节并说明它们的配置。一些配置揭示了恶意软件可能的原始文件路径，从而深入了解威胁组织的主机路径。

Talos 认为，最近的攻击活动是 Lotus Blossom 组织的，因为该组织使用了 Sagerunex 后门，这是 Billbug 的 Evora 的进化版本。

Sagerunex 是一种注入 DLL 的 RAT，它采用各种网络策略来保持控制。专家指出，这三个变体保持相同的核心功能，由于一致的攻击模式和 TTP，支持将攻击活动归因于 Lotus Blossom。

近期入侵的初始访问载体尚不清楚，但威胁组织在过去的活动中曾使用过鱼叉式网络钓鱼和水坑攻击。

对 Lotus Blossom 攻击的研究发现了几种用于逃避检测并实现其目标的工具：

• Cookie 窃取工具：Chrome     Cookie 窃取程序的 Pyinstaller 软件包，它是来自github的开源工具。Lotus Blossom 使用它来获取 Chrome     浏览器凭据。
• Venom代理工具：使用 Go     语言为渗透测试人员开发的代理工具。攻击者定制了此 Venom 工具，并在每次活动中对目标 IP 地址进行硬编码。 
• Privilege     adjuster（权限调整器）：一种检索进程令牌并提升权限的工具。
• 归档工具：一种定制的压缩加密工具，使攻击者能够窃取每个文件或整个文件夹到受保护的特定文件路径。例如，该工具归档了Chrome和Firefox浏览器的cookie文件夹。     
• 端口中继工具：攻击者将此工具命名为“mtrain     V1.01”，它是HTran修改后的代理中继工具。该工具允许攻击者将受害者机器连接中继到互联网。
• RAR 工具：用于存档或压缩文件。

Talos 研究人员对多个 Sagerunex 后门变体进行了详细分析，发现了相似之处并强调了不同的 C2 策略。

Beta 版本以调试字符串为特征，使用 Dropbox 作为 C2 通道。另一个变体同时使用 Dropbox 和 Twitter 进行数据泄露，检索主机信息并将加密数据发送回 C2 服务器。

Talos 发现了第三个使用 Zimbra webmail 的变体，它使用 Zimbra API 通过电子邮件草稿进行数据泄露。

每个变体都实施了各种检查，例如基于时间的延迟和系统验证，以保持持久性。恶意软件的加载器将后门注入内存并使用加密来混淆数据。此外，VMProtect 的使用会混淆恶意软件代码以逃避防病毒检测。

Talos 还确定了特定的文件路径和配置详细信息，表明该恶意软件已经活跃多年，并且可能在 2018 年至 2022 年之间持续运行。这凸显了 Lotus Blossom 组织策略的长期持久性和适应性。

技术报告：

https://blog.talosintelligence.com/lotus-blossom-espionage-group/

新闻链接：

https://securityaffairs.com/174976/apt/lotus-blossom-apt-sagerunex-backdoor.html