Задна вратичка LOTUSLITE
Изследователи по сигурността разкриха сложна кампания за зловреден софтуер, насочена към правителството и политическите институции на САЩ, използваща актуални политически теми, за да привлече жертвите. Злонамерените лица вградиха ZIP архив, озаглавен „US now deciding what's next for Venezuela.zip“, във фишинг съобщения, предназначени да привлекат получатели, загрижени за последните развития между САЩ и Венецуела. Ако бъде отворен, този архив доставя задна вратичка, известна като LOTUSLITE, чрез странично зареждане на DLL, метод, който използва легитимни приложения, за да скрие злонамерени полезни товари и да избегне откриването. Остава неясно дали някоя от целевите жертви е била успешно компрометирана.
Кампанията се приписва с умерена увереност на свързаната с държавата китайска кибершпионска група Mustang Panda. Това приписване се основава на припокриващи се тактически подходи и инфраструктурни отпечатъци, свързани преди това с тази група, добре позната с политически мотивираното си насочване и с предпочитанието към странично зареждане пред първоначалния достъп, базиран на експлойти.
Съдържание
Механизъм за доставка и изпълнение
Зловредният ZIP файл съдържа изпълним файл-примамка и динамично свързана библиотека, която се стартира чрез странично зареждане на DLL, надежден поток на изпълнение, при който доброкачествен процес неволно зарежда злонамерена библиотека. Mustang Panda последователно е използвала тази техника в предишни операции, включително пробиване на задни врати като TONESHELL.
След като бъде изпълнена, имплантираната DLL библиотека (наречена kugou.dll) действа като персонализирана C++ задна врата, проектирана за шпионски задачи. LOTUSLITE установява връзка със своя твърдо кодиран сървър за командване и управление (C2), като използва Windows WinHTTP API, което позволява отдалечени команди и извличане на данни.
Възможности за задна вратичка
LOTUSLITE поддържа набор от основни операции, които улесняват дистанционното управление и разузнаване. Те включват:
- Дистанционно изпълнение на команди чрез стартиране и управление на CMD обвивка
- Взаимодействия с файловата система, като например изброяване на директории, създаване на файлове и добавяне на данни
- Управление на състоянието на маяците, което контролира комуникацията с C2
Ето пълния набор от команди, поддържани от LOTUSLITE:
- 0x0A: Иницииране на отдалечена CMD обвивка
- 0x0B: Прекратяване на отдалечената обвивка
- 0x01: Изпращане на команди през shell
- 0x06: Нулиране на състоянието на маяка
- 0x03: Изброяване на файлове
- 0x0D: Създаване на празен файл
- 0x0E: Добавяне на данни към файл
- 0x0F: Извличане на състоянието на маяка
LOTUSLITE също така осигурява постоянство, като променя настройките на системния регистър на Windows, така че да се изпълнява автоматично при всяко влизане на потребител.
Поведенчески черти и оперативен фокус
Анализаторите по сигурността отбелязаха, че LOTUSLITE показва поведенчески сходства с предишни инструменти, внедрени от Mustang Panda, като например Claimloader, по-специално чрез вграждане на провокативни низове за съобщения, които подкрепят усилията за социално инженерство. Claimloader самият е DLL loader, използван за внедряване на други полезни товари на Mustang Panda, като PUBLOAD, в по-ранни кампании.
Тази операция подчертава по-широка тенденция в целенасочения фишинг: вместо да разчитат на сложни zero-day експлойти, напредналите групи за постоянни заплахи често постигат достъп чрез социално значими примамки, комбинирани с добре изпитани методи за изпълнение, като например странично зареждане на DLL. Въпреки че LOTUSLITE не притежава високотехнологични функции за избягване, неговите ясни възможности за командване и контрол и надежден поток на изпълнение го правят практичен инструмент за дългосрочен шпионаж.
Кампанията демонстрира, че дори прости, познати техники могат да останат ефективни, когато са съчетани с интелигентно таргетиране и контекстуално релевантни примамки, особено срещу институционални мрежи с висока стойност.
