LOTUSLITE Backdoor

חוקרי אבטחה חשפו קמפיין תוכנות זדוניות מתוחכם שמכוון נגד ממשלת ארה"ב ומוסדות מדיניות, תוך שימוש במוטיבים פוליטיים עדכניים כדי לפתות קורבנות. גורמי האיום הטמיעו ארכיון ZIP שכותרתו 'ארה"ב מחליטה עכשיו מה הלאה עבור ונצואלה.zip' לתוך הודעות פישינג שנועדו לפנות לנמענים המעורבים בהתפתחויות האחרונות בין ארה"ב לוונצואלה. אם ארכיון זה ייפתח, הוא מספק דלת אחורית המכונה LOTUSLITE באמצעות טעינת DLL צדדית, שיטה הממנפת יישומים לגיטימיים כדי להסתיר מטענים זדוניים ולהתחמק מגילוי. עדיין לא ברור אם מי מהקורבנות המיועדים נפרץ בהצלחה.

הקמפיין יוחס בביטחון בינוני לקבוצת הריגול הסייבר הסינית מוסטנג פנדה, הקשורה למדינה. ייחוס זה מבוסס על גישות טקטיות חופפות ונוכחות תשתית שקושרו בעבר לקבוצה זו, הידועה היטב במטרות פוליטיות ובהעדפת טעינה צדדית על פני גישה ראשונית מבוססת פרצות.

מנגנון אספקה וביצוע

הקובץ ZIP הזדוני מכיל קובץ הרצה מסוג decoy וספריית קישורים דינמיים המופעלת באמצעות טעינת DLL צדדית, זרימת ביצוע אמינה שבה תהליך שפיר טוען בשוגג ספרייה זדונית. Mustang Panda השתמשה באופן עקבי בטכניקה זו בפעולות קודמות, כולל דחיפת דלתות אחוריות כמו TONESHELL.

לאחר ההפעלה, קובץ ה-DLL המושתל (בשם kugou.dll) משמש כדלת אחורית מותאמת אישית בפורמט C++, המיועדת למשימות ריגול. LOTUSLITE יוצר חיבור לשרת ה-C2 (Command-and-Control) הקשיח שלו על ידי מינוף ממשק ה-API של Windows WinHTTP, המאפשר פקודות מרחוק וחילוץ נתונים.

יכולות דלת אחורית

LOTUSLITE תומך במערכת של פעולות ליבה המאפשרות שליטה מרחוק וסיור. אלה כוללים:

• ביצוע פקודה מרחוק באמצעות הפעלה ושליטה במעטפת CMD
• אינטראקציות של מערכת הקבצים, כגון ספירת ספריות, יצירת קבצים וצירוף נתונים
• ניהול סטטוס משואות, אשר שולט בתקשורת עם C2

הנה מערך הפקודות המלא הנתמך על ידי LOTUSLITE:

• 0x0A: הפעלת מעטפת CMD מרוחקת
• 0x0B: סיום מעטפת מרוחקת
• 0x01: שלח פקודות דרך המעטפת
• 0x06: איפוס מצב המשואה
• 0x03: ספירת קבצים

• 0x0D: צור קובץ ריק

• 0x0E: הוסף נתונים לקובץ

• 0x0F: אחזור סטטוס המשואה

LOTUSLITE גם מבטיח עמידות על ידי שינוי הגדרות הרישום של Windows כך שהוא יבוצע אוטומטית בכל כניסת משתמש.

תכונות התנהגותיות ומיקוד תפעולי

אנליסטים של אבטחה הבחינו כי LOTUSLITE מפגין דמיון התנהגותי לכלים קודמים שהוצבו על ידי Mustang Panda, כגון Claimloader, ובמיוחד הטמעת מחרוזות מסרים פרובוקטיביות התומכות במאמצי הנדסה חברתית. Claimloader הוא בעצמו טוען DLL המשמש לפריסת מטענים אחרים של Mustang Panda כמו PUBLOAD בקמפיינים קודמים.

מבצע זה מדגיש מגמה רחבה יותר של פישינג ממוקד (spear-phishing): במקום להסתמך על פרצות אפס-יום מורכבות, קבוצות איום מתמשכות ומתקדמות משיגות גישה לעתים קרובות באמצעות פיתיונות רלוונטיים חברתית בשילוב עם שיטות ביצוע שנבדקו היטב, כגון טעינת DLL צדדית. למרות של-LOTUSLITE חסרות תכונות התחמקות מתקדמות ביותר, יכולות הפיקוד והשליטה הפשוטות שלו וזרימת הביצוע האמינה הופכות אותו לכלי מעשי לריגול ארוך טווח.

הקמפיין מדגים שגם טכניקות פשוטות ומוכרות יכולות להישאר יעילות בשילוב עם מיקוד חכם ופיתיונות רלוונטיים להקשר, במיוחד כנגד רשתות מוסדיות בעלות ערך גבוה.