LOTUSLITE Bagdør
Sikkerhedsforskere har afsløret en sofistikeret malwarekampagne rettet mod den amerikanske regering og politiske institutioner, der bruger aktuelle politiske temaer til at lokke ofre. Trusselaktørerne integrerede et ZIP-arkiv med titlen 'USA beslutter nu, hvad der er det næste for Venezuela.zip' i spear-phishing-beskeder, der er designet til at appellere til modtagere, der er bekymrede over den seneste udvikling mellem USA og Venezuela. Hvis dette arkiv åbnes, leverer det en bagdør kendt som LOTUSLITE via DLL-sideloading, en metode, der udnytter legitime applikationer til at skjule ondsindede nyttelast og undgå opdagelse. Det er fortsat uklart, om nogen af de tilsigtede ofre er blevet kompromitteret.
Kampagnen er med moderat sikkerhed blevet tilskrevet den statsforbundne kinesiske cyberspionagegruppe Mustang Panda. Denne tilskrivning er baseret på overlappende taktiske tilgange og infrastrukturelle fodaftryk, der tidligere er blevet knyttet til denne gruppe, som er velkendt for politisk drevet målretning og for at favorisere sideloading frem for exploit-baseret initial adgang.
Indholdsfortegnelse
Leverings- og udførelsesmekanisme
Den skadelige ZIP-fil indeholder en eksekverbar fil med lokkefugle og et dynamisk linkbibliotek, der startes via DLL-sideloading, et pålideligt udførelsesflow, hvor en godartet proces utilsigtet indlæser et skadeligt bibliotek. Mustang Panda har konsekvent brugt denne teknik i tidligere operationer, herunder at pushe bagdøre som TONESHELL.
Når den er udført, fungerer den implanterede DLL (med navnet kugou.dll) som en brugerdefineret C++-bagdør, der er udviklet til spionageopgaver. LOTUSLITE etablerer forbindelse til sin hardcodede Command-and-Control (C2)-server ved at udnytte Windows WinHTTP API'en, hvilket muliggør fjernkommandoer og dataudtrækning.
Bagdørsfunktioner
LOTUSLITE understøtter en række kerneoperationer, der muliggør fjernstyring og rekognoscering. Disse omfatter:
- Fjernkommandoudførelse via spawning og styring af en CMD-shell
- Filsysteminteraktioner, såsom mappeoptælling, filoprettelse og datatilføjelse
- Beacon-statusstyring, som styrer kommunikationen med C2
Her er det komplette kommandosæt, der understøttes af LOTUSLITE:
- 0x0A: Start fjern CMD-shell
- 0x0B: Afslut fjernshell
- 0x01: Send kommandoer via shell
- 0x06: Nulstil beacon-tilstand
- 0x03: Optæl filer
- 0x0D: Opret tom fil
- 0x0E: Tilføj data til fil
- 0x0F: Hent beacon-status
LOTUSLITE sikrer også vedholdenhed ved at ændre indstillingerne i Windows-registreringsdatabasen, så den kører automatisk ved hver brugerlogin.
Adfærdsmæssige træk og operationelt fokus
Sikkerhedsanalytikere observerede, at LOTUSLITE udviser adfærdsmæssige ligheder med tidligere værktøjer, der er implementeret af Mustang Panda, såsom Claimloader, især ved at integrere provokerende beskedstrenge, der understøtter social engineering-indsatsen. Claimloader er i sig selv en DLL-loader, der blev brugt til at implementere andre Mustang Panda-nyttelaster som PUBLOAD i tidligere kampagner.
Denne operation understreger en bredere tendens inden for målrettet spear-phishing: I stedet for at stole på komplekse zero-day exploits opnår avancerede, vedvarende trusselsgrupper ofte adgang gennem socialt relevante lokkemidler kombineret med velafprøvede udførelsesmetoder såsom DLL-sideloading. Selvom LOTUSLITE mangler meget avancerede undvigelsesfunktioner, gør dens enkle kommando-og-kontrol-funktioner og pålidelige udførelsesflow det til et praktisk værktøj til langvarig spionage.
Kampagnen viser, at selv simple, velkendte teknikker kan forblive effektive, når de parres med intelligent målretning og kontekstuelt relevante lokkemidler, især mod værdifulde institutionelle netværk.
