LOTUSLITE-takaovi
Tietoturvatutkijat ovat paljastaneet hienostuneen haittaohjelmakampanjan, joka on suunnattu Yhdysvaltain hallitukseen ja poliittisiin instituutioihin ja jossa uhreja houkutellaan ajankohtaisilla poliittisilla teemoilla. Uhkatoimijat upottivat ZIP-arkiston nimeltä "US now deciding what's next for Venezuela.zip" keihästietojenkalasteluviesteihin, joiden tarkoituksena on houkutella vastaanottajia, jotka ovat huolissaan Yhdysvaltojen ja Venezuelan välisistä viimeaikaisista tapahtumista. Jos tämä arkisto avataan, se päästää sisään LOTUSLITE-nimisen takaportin DLL-sivulatauksen kautta. Tämä menetelmä hyödyntää laillisia sovelluksia haitallisten hyötykuormien piilottamiseen ja havaitsemisen välttämiseen. On edelleen epäselvää, onnistuttiinko mitään aiotuista uhreista vaarantamaan.
Kampanjan on kohtuullisen varmasti liitetty valtioon kytköksissä olevaan kiinalaiseen kybervakoiluryhmään Mustang Pandaan. Tämä selitys perustuu päällekkäisiin taktisiin lähestymistapoihin ja infrastruktuuriin, jotka aiemmin olivat yhteydessä tähän ryhmään, joka tunnetaan poliittisesti motivoituneesta kohdentamisesta ja sivulatauksen suosimisesta hyökkäysperusteiseen alkuperäiseen pääsyyn verrattuna.
Sisällysluettelo
Toimitus- ja toteutusmekanismi
Haitallinen ZIP-tiedosto sisältää houkutustiedoston ja dynaamisen linkkikirjaston, joka käynnistetään DLL-sivulatauksen kautta. Tämä luotettava suoritusprosessi lataa tahattomasti haitallisen kirjaston. Mustang Panda on käyttänyt tätä tekniikkaa johdonmukaisesti aiemmissa toimissaan, mukaan lukien takaporttien, kuten TONESHELLin, työntämisessä.
Suoritettuaan asennettu DLL-tiedosto (nimeltään kugou.dll) toimii vakoilutehtäviä varten suunniteltuna mukautettuna C++-takaporttina. LOTUSLITE muodostaa yhteyden kovakoodattuun Command-and-Control (C2) -palvelimeensa hyödyntämällä Windows WinHTTP -rajapintaa, mikä mahdollistaa etäkomennot ja tietojen poiminnan.
Takaoven ominaisuudet
LOTUSLITE tukee joukkoa ydintoimintoja, jotka helpottavat etäohjausta ja tiedustelua. Näitä ovat:
- Komentojen etäsuorittaminen CMD-kuoren luonnin ja hallinnan kautta
- Tiedostojärjestelmän vuorovaikutukset, kuten hakemistojen luettelointi, tiedostojen luonti ja tietojen lisääminen
- Majakan tilan hallinta, joka ohjaa viestintää C2:n kanssa
Tässä on LOTUSLITEn tukema täydellinen komentosarja:
- 0x0A: Käynnistä etäkäyttöliittymä CMD-komentotulkki
- 0x0B: Lopeta etäkäyttöliittymä
- 0x01: Lähetä komentoja komentotulkin kautta
- 0x06: Nollaa majakan tila
- 0x03: Tiedostojen luettelointi
- 0x0D: Luo tyhjä tiedosto
- 0x0E: Lisää tiedot tiedostoon
- 0x0F: Nouda majakan tila
LOTUSLITE varmistaa myös pysyvyyden muuttamalla Windowsin rekisteriasetuksia niin, että se suoritetaan automaattisesti jokaisen käyttäjän kirjautumisen yhteydessä.
Käyttäytymispiirteet ja toiminnan painopiste
Tietoturva-analyytikot havaitsivat, että LOTUSLITE muistuttaa aiempia Mustang Pandan käyttämiä työkaluja, kuten Claimloaderia, erityisesti upottamalla provosoivia viestiketjuja, jotka tukevat sosiaalisen manipuloinnin pyrkimyksiä. Claimloader on itsessään DLL-lataaja, jota on käytetty muiden Mustang Pandan hyötykuormien, kuten PUBLOADin, käyttöönottoon aiemmissa kampanjoissa.
Tämä operaatio korostaa kohdennetun keihäshuijauksen laajempaa trendiä: monimutkaisten nollapäivähyökkäysten sijaan kehittyneet pysyvät uhkaryhmät pääsevät usein käsiksi haavoittuvuuteen sosiaalisesti relevanttien houkuttimien ja hyvin testattujen toteutustapojen, kuten DLL-sivulatauksen, avulla. Vaikka LOTUSLITE:sta puuttuu erittäin kehittyneitä väistöominaisuuksia, sen suoraviivaiset komento- ja hallintaominaisuudet ja luotettava suoritusvirta tekevät siitä käytännöllisen työkalun pitkäaikaiseen vakoiluun.
Kampanja osoittaa, että jopa yksinkertaiset, tutut tekniikat voivat pysyä tehokkaina yhdistettynä älykkääseen kohdentamiseen ja kontekstiin relevantteihin houkuttimiin, erityisesti arvokkaita institutionaalisia verkostoja vastaan.
