Sofisticirana kineska hakerska grupa poznata kao Billbug (također praćena kao Lotus Blossom, Lotus Panda i Bronze Elgin) intenzivirala je svoju špijunsku kampanju širom jugoistočne Azije, koristeći novi prilagođeni Reverse SSH alat za kompromitovanje visokovrijednih ciljeva.
Ova grupa, aktivna najmanje od 2009. godine, istorijski se fokusirala na vladine i vojne organizacije u regionu, pokazujući stalnu pretnju infrastrukturi nacionalne bezbjednosti.
Između avgusta 2024. i februara 2025. Billbug je organizirao koordiniranu kampanju napada na više organizacija unutar jedne zemlje jugoistočne Azije, uključujući vladino ministarstvo, organizaciju za kontrolu letenja, telekomunikacionog operatera i građevinsku kompaniju.
Grupa je proširila svoj domet ciljajući novinsku agenciju u drugoj zemlji jugoistočne Azije i organizaciju za zračni teret u susjednoj državi, pokazujući strateško širenje njihovog operativnog djelokruga.
Symantecovi istraživači su ovu kampanju identifikovali kao nastavak aktivnosti koje su prvi put dokumentovane u decembru 2024.
Akteri prijetnji su implementirali arsenal sofisticiranih alata, s prilagođenim Reverse SSH alatom (SHA256: 461f0803b67799da8548ebfd979053fb99cf110f40ac3fc073c3183e2f6egingt. alat koji nije posebno dodavan kao njihov alat)
Ovaj specijalizovani zlonamerni softver uspostavlja trajni backdoor pristup slušanjem SSH konekcija na portu 22, omogućavajući napadačima da zadrže prikrivenu kontrolu nad kompromitovanim sistemima.
Kampanja predstavlja evoluciju Billbugovih taktika, tehnika i procedura (TTP), demonstrirajući njihovo kontinuirano ulaganje u prilagođeni razvoj malicioznog softvera.
Pored Reverse SSH alata, napadači su implementirali uslužne programe za krađu akreditiva koji su posebno ciljali podatke Chrome pretraživača (ChromeKatz i CredentialKatz) i iskoristili legitimni softver kako bi izbjegli otkrivanje.
Uporna i ciljana priroda ovih napada ukazuje na dugoročnu špijunažu sa specifičnim ciljevima prikupljanja obavještajnih podataka.
Mehanizam infekcije: tehnike bočnog učitavanja DLL-a
Napadači su koristili sofisticirane tehnike bočnog učitavanja DLL-a kako bi uspostavili početni pristup i postojanost na ciljanim sistemima.
Ova metoda uključuje stavljanje malicioznih DLL datoteka uz legitimne izvršne datoteke od provjerenih dobavljača, iskorištavanje Windowsovog DLL naloga za pretraživanje za izvršavanje malicioznog koda uz dozvole legitimnog softvera.
U jednom slučaju, napadači su iskoristili legitimni Trend Micro izvršni fajl (tmdbglog.exe) da učitaju zlonamerni DLL (tmdglog.dll). Zlonamjerni DLL je radio na sljedeći način:-
// Simplified pseudocode of tmdglog.dll operation
void DllMain() {
// Read encrypted payload from C:\Windows\temp\TmDebug.log
byte[] payload = ReadFile("C:\\Windows\\temp\\TmDebug.log");
// Decrypt payload
byte[] decryptedPayload = Decrypt(payload);
// Execute decrypted payload in memory
ExecuteInMemory(decryptedPayload);
// Log execution progress to obscure file
LogProgress("C:\\Windows\\Temp\\VT001.tmp");
}Slično, Bitdefender izvršni fajl (bds.exe) je iskorišten za učitavanje drugog malicioznog DLL-a (log.dll), koji je dešifrirao sadržaj iz datoteke pod nazivom “winnt.config” i ubacio ga u legitimni proces systray.exe.
Ove tehnike su omogućile napadačima da uspostave postojanost dok izbjegavaju tradicionalne sigurnosne kontrole koje se fokusiraju na izvršne datoteke, a ne na DLL-ove.
Reverse SSH alat predstavlja značajan napredak u Billbugovim mogućnostima, pružajući prikriveni kanal za komandu i kontrolu dok se maskira kao legitimni SSH saobraćaj na standardnim portovima.
Ovaj pristup čini otkrivanje posebno izazovnim za tradicionalna rješenja za praćenje mreže i predstavlja stalnu prijetnju organizacijama širom jugoistočne Azije.
Izvor: CyberSecurityNews