LOTUSLITE बैकडोर

सुरक्षा शोधकर्ताओं ने अमेरिकी सरकार और नीतिगत संस्थानों को निशाना बनाने वाले एक परिष्कृत मैलवेयर अभियान का पर्दाफाश किया है, जिसमें पीड़ितों को लुभाने के लिए समसामयिक राजनीतिक विषयों का इस्तेमाल किया गया है। हमलावरों ने 'US now decision what's next for Venezuela.zip' शीर्षक वाली एक ज़िप फ़ाइल को स्पीयर-फ़िशिंग संदेशों में एम्बेड किया था, जो हाल ही में अमेरिका-वेनेज़ुएला के घटनाक्रमों से चिंतित प्राप्तकर्ताओं को आकर्षित करने के लिए डिज़ाइन किए गए थे। यदि इस फ़ाइल को खोला जाता है, तो यह DLL साइड-लोडिंग के माध्यम से LOTUSLITE नामक एक बैकडोर को डिलीवर कर देता है, जो दुर्भावनापूर्ण पेलोड को छिपाने और पता लगने से बचने के लिए वैध एप्लिकेशन का उपयोग करने की एक विधि है। यह अभी तक स्पष्ट नहीं है कि लक्षित पीड़ितों में से कोई भी सफलतापूर्वक प्रभावित हुआ है या नहीं।

इस अभियान को चीन के सरकारी साइबर जासूसी समूह मस्टैंग पांडा से जोड़ा जा रहा है, हालांकि इस पर मध्यम स्तर का विश्वास जताया जा रहा है। यह अनुमान इस समूह से पहले से जुड़े सामरिक दृष्टिकोणों और बुनियादी ढांचे के निशानों की समानता पर आधारित है। यह समूह राजनीतिक उद्देश्यों को लक्षित करने और शोषण-आधारित प्रारंभिक पहुंच के बजाय साइड-लोडिंग को प्राथमिकता देने के लिए जाना जाता है।

वितरण और निष्पादन तंत्र

इस दुर्भावनापूर्ण ज़िप फ़ाइल में एक नकली निष्पादन योग्य फ़ाइल और एक डायनामिक-लिंक लाइब्रेरी है, जिसे डीएलएल साइड-लोडिंग के माध्यम से लॉन्च किया जाता है। यह एक विश्वसनीय निष्पादन प्रक्रिया है जिसमें एक हानिरहित प्रक्रिया अनजाने में एक दुर्भावनापूर्ण लाइब्रेरी को लोड कर देती है। मस्टैंग पांडा ने पहले भी कई ऑपरेशनों में इस तकनीक का इस्तेमाल किया है, जिनमें टोनशेल जैसे बैकडोर को शामिल करना भी शामिल है।

एक बार निष्पादित होने पर, स्थापित DLL (जिसका नाम kugou.dll है) जासूसी कार्यों के लिए डिज़ाइन किए गए एक कस्टम C++ बैकडोर के रूप में कार्य करता है। LOTUSLITE विंडोज WinHTTP API का उपयोग करके अपने हार्ड-कोडेड कमांड-एंड-कंट्रोल (C2) सर्वर से कनेक्शन स्थापित करता है, जिससे दूरस्थ कमांड और डेटा निष्कर्षण संभव हो जाता है।

बैकडोर क्षमताएं

LOTUSLITE कुछ मुख्य कार्यों का समर्थन करता है जो दूरस्थ नियंत्रण और जासूसी को सुगम बनाते हैं। इनमें शामिल हैं:

• CMD शेल को स्पॉन करके और नियंत्रित करके दूरस्थ कमांड निष्पादन
• फाइल सिस्टम के साथ परस्पर क्रिया, जैसे कि निर्देशिका की गणना, फाइल निर्माण और डेटा जोड़ना
• बीकन स्थिति प्रबंधन, जो C2 के साथ संचार को नियंत्रित करता है

यहां LOTUSLITE द्वारा समर्थित सभी कमांड की पूरी सूची दी गई है:

• 0x0A: रिमोट CMD शेल प्रारंभ करें
• 0x0B: रिमोट शेल समाप्त करें
• 0x01: शेल के माध्यम से कमांड भेजें
• 0x06: बीकन स्थिति रीसेट करें
• 0x03: फ़ाइलों की गणना करें

• 0x0D: खाली फ़ाइल बनाएँ

• 0x0E: फ़ाइल में डेटा जोड़ें

• 0x0F: बीकन की स्थिति प्राप्त करें

LOTUSLITE विंडोज रजिस्ट्री सेटिंग्स को बदलकर यह सुनिश्चित करता है कि यह प्रत्येक उपयोगकर्ता लॉगिन पर स्वचालित रूप से निष्पादित हो।

व्यवहारिक लक्षण और परिचालन संबंधी ध्यान

सुरक्षा विश्लेषकों ने पाया कि लोटसलाइट का व्यवहार मस्टैंग पांडा द्वारा पहले इस्तेमाल किए गए टूल, जैसे कि क्लेमलोडर, से मिलता-जुलता है, खासकर इसमें भड़काऊ संदेशों का इस्तेमाल किया जाता है जो सोशल इंजीनियरिंग प्रयासों में सहायक होते हैं। क्लेमलोडर खुद एक डीएलएल लोडर है जिसका इस्तेमाल पहले के अभियानों में पब्लॉड जैसे अन्य मस्टैंग पांडा पेलोड को तैनात करने के लिए किया जाता था।

यह ऑपरेशन लक्षित स्पीयर-फ़िशिंग में एक व्यापक प्रवृत्ति को रेखांकित करता है: जटिल ज़ीरो-डे एक्सप्लॉइट्स पर निर्भर रहने के बजाय, उन्नत निरंतर खतरे वाले समूह अक्सर सामाजिक रूप से प्रासंगिक प्रलोभनों और अच्छी तरह से परखे गए निष्पादन विधियों, जैसे कि DLL साइड-लोडिंग, के संयोजन के माध्यम से पहुँच प्राप्त करते हैं। हालाँकि LOTUSLITE में अत्यधिक उन्नत बचाव सुविधाएँ नहीं हैं, लेकिन इसकी सरल कमांड-एंड-कंट्रोल क्षमताएँ और विश्वसनीय निष्पादन प्रवाह इसे दीर्घकालिक जासूसी के लिए एक व्यावहारिक उपकरण बनाते हैं।

यह अभियान दर्शाता है कि सरल, परिचित तकनीकें भी बुद्धिमानीपूर्ण लक्ष्यीकरण और प्रासंगिक संदर्भों के साथ मिलकर प्रभावी बनी रह सकती हैं, विशेष रूप से उच्च-मूल्य वाले संस्थागत नेटवर्क के विरुद्ध।