LOTUSLITE stražnja vrata

Sigurnosni istraživači otkrili su sofisticiranu kampanju zlonamjernog softvera usmjerenu na američku vladu i političke institucije, koristeći aktualne političke teme kako bi privukli žrtve. Akteri prijetnji ugradili su ZIP arhivu pod nazivom 'SAD sada odlučuju što je sljedeće za Venezuelu.zip' u spear phishing poruke osmišljene kako bi privukle primatelje zabrinute zbog nedavnih događaja u odnosima SAD-a i Venezuele. Ako se otvori, ova arhiva isporučuje stražnja vrata poznata kao LOTUSLITE putem DLL bočnog učitavanja, metode koja koristi legitimne aplikacije za prikrivanje zlonamjernih sadržaja i izbjegavanje otkrivanja. Ostaje nejasno je li neka od namjeravanih žrtava uspješno kompromitirana.

Kampanja se s umjerenom pouzdanošću pripisuje kineskoj državno povezanoj skupini za kibernetičku špijunažu Mustang Panda. Ova atribucija temelji se na preklapajućim taktičkim pristupima i infrastrukturnim otiscima koji su prethodno bili povezani s ovom skupinom, dobro poznatom po politički motiviranom ciljanju i favoriziranju bočnog učitavanja u odnosu na početni pristup temeljen na iskorištavanju.

Mehanizam isporuke i izvršenja

Zlonamjerni ZIP sadrži izvršnu datoteku mamac i dinamičku biblioteku koja se pokreće putem bočnog učitavanja DLL-a, pouzdanog tijeka izvršavanja u kojem benigni proces nenamjerno učitava zlonamjernu biblioteku. Mustang Panda je dosljedno koristio ovu tehniku u prethodnim operacijama, uključujući otvaranje stražnjih vrata poput TONESHELL-a.

Nakon izvršenja, implantirani DLL (nazvan kugou.dll) djeluje kao prilagođeni C++ backdoor dizajniran za špijunske zadatke. LOTUSLITE uspostavlja vezu sa svojim čvrsto kodiranim Command-and-Control (C2) poslužiteljem koristeći Windows WinHTTP API, omogućujući udaljene naredbe i izdvajanje podataka.

Mogućnosti stražnjih vrata

LOTUSLITE podržava skup osnovnih operacija koje omogućuju daljinsko upravljanje i izviđanje. To uključuje:

• Daljinsko izvršavanje naredbi putem pokretanja i upravljanja CMD ljuskom
• Interakcije datotečnog sustava, kao što su nabrajanje direktorija, stvaranje datoteka i dodavanje podataka
• Upravljanje statusom beacon-a, koje kontrolira komunikaciju s C2-om

Evo kompletnog skupa naredbi koje podržava LOTUSLITE:

• 0x0A: Pokreni udaljenu CMD ljusku
• 0x0B: Završi udaljenu ljusku
• 0x01: Slanje naredbi putem ljuske
• 0x06: Resetiraj stanje signala
• 0x03: Nabroji datoteke

• 0x0D: Stvori praznu datoteku

• 0x0E: Dodavanje podataka u datoteku

• 0x0F: Dohvati status beacon-a

LOTUSLITE također osigurava postojanost mijenjajući postavke registra sustava Windows tako da se automatski izvršava pri svakoj prijavi korisnika.

Osobine ponašanja i operativni fokus

Sigurnosni analitičari primijetili su da LOTUSLITE pokazuje sličnosti u ponašanju s prethodnim alatima koje je koristio Mustang Panda, poput Claimloadera, posebno ugrađujući provokativne nizove poruka koji podržavaju napore društvenog inženjeringa. Claimloader je sam po sebi DLL loader koji se koristi za primjenu drugih Mustang Panda korisnih tereta poput PUBLOAD-a u ranijim kampanjama.

Ova operacija naglašava širi trend ciljanog spear-phishinga: umjesto oslanjanja na složene zero-day propuste, napredne skupine upornih prijetnji često ostvaruju pristup putem društveno relevantnih mamaca u kombinaciji s dobro provjerenim metodama izvršenja poput bočnog učitavanja DLL-a. Iako LOTUSLITE-u nedostaju vrlo napredne značajke izbjegavanja, njegove jednostavne mogućnosti Command-and-Controla i pouzdan tijek izvršenja čine ga praktičnim alatom za dugoročnu špijunažu.

Kampanja pokazuje da čak i jednostavne, poznate tehnike mogu ostati učinkovite kada se upare s inteligentnim ciljanjem i kontekstualno relevantnim mamcima, posebno protiv visokovrijednih institucionalnih mreža.