Lotus Panda 利用浏览器窃取程序和侧载恶意软件攻击东南亚政府

与某国有关联的网络间谍组织 Lotus Panda 被追踪到，该组织涉嫌在 2024 年 8 月至 2025 年 2 月期间对东南亚某未具名国家的多个组织发起攻击。

赛门铁克威胁猎人团队在与 The Hacker News 分享的一份新报告中指出： “目标包括政府部门、空中交通管制机构、电信运营商和建筑公司。攻击使用了多种新型自定义工具，包括加载器、凭证窃取程序和反向 SSH 工具。”

据称，入侵程序还针对位于东南亚另一个国家的一家新闻机构和位于另一个邻国的一家航空货运组织。

根据博通网络安全部门的评估，该威胁集群是该公司于 2024 年 12 月披露的一项活动的延续，该活动自 2023 年 10 月起在东南亚一直备受瞩目。

上个月，思科 Talos将Lotus Panda 攻击者与针对菲律宾、越南、香港和台湾的政府、制造业、电信和媒体行业的入侵联系起来，并使用了名为 Sagerunex 的后门。

Lotus Panda（又名 Billbug、Bronze Elgin、Lotus Blossom、Spring Dragon 和 Thrip）曾策划针对东南亚政府和军事组织的网络攻击。

该组织被认为至少自 2009 年以来就一直活跃，并于 2015 年 6 月首次受到关注，当时 Palo Alto Networks将威胁行为者归咎于持续的鱼叉式网络钓鱼活动，该活动利用 Microsoft Office 漏洞（CVE-2012-0158）来分发名为 Elise（又名 Trensil）的后门，旨在执行命令和读/写文件。

该组织随后发起的攻击利用了Microsoft Windows OLE 漏洞 ( CVE-2014-6332 )，通过鱼叉式网络钓鱼电子邮件向当时在台湾为法国外交部工作的一名个人发送了带有陷阱的附件，以部署另一个与 Elise 相关的代号为 Emissary 的木马。

在赛门铁克发现的最新一波攻击中，攻击者利用趋势科技（“tmdbglog.exe”）和 Bitdefender（“bds.exe”）的合法可执行文件来侧载恶意 DLL 文件，这些文件充当加载器来解密并启动嵌入在本地存储文件中的下一阶段有效载荷。

原文始发于微信公众号（犀牛安全）：Lotus Panda 利用浏览器窃取程序和侧载恶意软件攻击东南亚政府