Billbug kampány
A Symantec jelentést tett közzé a Billbug (Thrip, Lotus Blossom, Spring Dragon) csoport új kampányairól. A kínai – valószínűleg állami támogatású – csoport kiberkémkedés tevékenységet indított, amely során kormányzati szervezeteket, a védelmi ipar szervezeteit és egy tanúsítási hatóságot is kihasznált Ázsiában. A csoport tevékenysége már egy évtizede ismert, de folyamatosan fejlődik.
A Symantec a Billbughoz tudta kötni a közelmúltbeli támadásokat, mert a fenyegetettség szereplője két egyedi hátsó ajtót használt néhány korábbi művelete során: a Hannotogot és a Sagerunexet.
A Hannotog backdoor egyes funkciói közé tartozik a tűzfal beállításainak módosítása az összes forgalom engedélyezéséhez, a titkosított adatok feltöltése, a CMD parancsok futtatása és a fájlok letöltése az eszközre.
A Sagerunexet beinjektálja magát egy explorer.exe folyamatba és a naplófájlok közé, egy helyi ideiglenes fájlént gyűjti az eszközről az adatokat, amit 256 betes AES titkosítással rejt el. A Sagerunex HTTPS-en keresztül csatlakozik a C2 kiszolgálóhoz, hogy elküldje az aktív proxy-k és fájlok listáját, és fogadja a szükséges adatokat és a shell-parancsokat az operátoroktól.
A Symantec közzétette az azonosításhoz szükséges mutatókat.