LOTUSLITE aizmugurējās durvis
Drošības pētnieki ir atklājuši sarežģītu ļaunprogrammatūras kampaņu, kas vērsta pret ASV valdību un politikas institūcijām, izmantojot aktuālas politiskas tēmas, lai pievilinātu upurus. Apdraudējumu izpildītāji ievietoja ZIP arhīvu ar nosaukumu “ASV tagad izlemj, kas notiks tālāk ar Venezuelu.zip” mērķpikšķerēšanas ziņojumos, kas paredzēti, lai piesaistītu adresātus, kuri ir ieinteresēti jaunākajos notikumos ASV un Venecuēlas attiecībās. Atverot šo arhīvu, tiek nodrošināta aizmugurējā durvis, kas pazīstamas kā LOTUSLITE, izmantojot DLL sānu ielādi — metodi, kas izmanto likumīgas lietojumprogrammas, lai slēptu ļaunprātīgu slodzi un izvairītos no atklāšanas. Joprojām nav skaidrs, vai kāds no paredzētajiem upuriem tika veiksmīgi kompromitēts.
Kampaņa ar mērenu pārliecību tiek piedēvēta ar valsti saistītajai Ķīnas kiberizlūkošanas grupai Mustang Panda. Šī piedēvēšana balstās uz pārklājošām taktiskām pieejām un infrastruktūras ietekmi, kas iepriekš bija saistīta ar šo grupu, kas ir labi pazīstama ar politiski motivētu mērķauditorijas atlasi un sānu ielādes priekšroku, nevis uz ekspluatēšanu balstītas sākotnējās piekļuves.
Satura rādītājs
Piegādes un izpildes mehānisms
Ļaunprātīgajā ZIP failā ir ietverts mānīgs izpildāmais fails un dinamisko saišu bibliotēka, kas tiek palaista, izmantojot DLL sānu ielādi — uzticamu izpildes plūsmu, kurā labdabīgs process netīšām ielādē ļaunprātīgu bibliotēku. Mustang Panda iepriekšējās darbībās ir konsekventi izmantojis šo metodi, tostarp virzot aizmugures durvis, piemēram, TONESHELL.
Kad implantētā DLL (ar nosaukumu kugou.dll) ir izpildīta, tā darbojas kā pielāgota C++ aizmugures durvis, kas izstrādātas spiegošanas uzdevumiem. LOTUSLITE izveido savienojumu ar savu cietkodēto Command-and-Control (C2) serveri, izmantojot Windows WinHTTP API, kas iespējo attālinātas komandas un datu ieguvi.
Aizmugurējo durvju iespējas
LOTUSLITE atbalsta virkni pamatdarbību, kas atvieglo tālvadību un izlūkošanu. Tās ietver:
- Attālā komandu izpilde, izmantojot nārsta funkciju un kontrolējot CMD apvalku
- Failu sistēmas mijiedarbība, piemēram, direktoriju uzskaitīšana, failu izveide un datu pievienošana
- Bāku statusa pārvaldība, kas kontrolē saziņu ar C2
Šeit ir pilns LOTUSLITE atbalstīto komandu kopums:
- 0x0A: Iniciēt attālo CMD apvalku
- 0x0B: Pārtraukt attālo apvalku
- 0x01: Sūtīt komandas caur čaulu
- 0x06: Atiestatīt bākas stāvokli
- 0x03: Uzskaitīt failus
- 0x0D: Izveidot tukšu failu
- 0x0E: Pievienot datus failam
- 0x0F: Iegūt bākas statusu
LOTUSLITE nodrošina arī noturību, mainot Windows reģistra iestatījumus tā, lai tas tiktu automātiski izpildīts katrā lietotāja pieteikšanās reizē.
Uzvedības iezīmes un darbības fokuss
Drošības analītiķi novēroja, ka LOTUSLITE uzrāda uzvedības līdzības ar iepriekšējiem Mustang Panda ieviestajiem rīkiem, piemēram, Claimloader, jo īpaši iestrādājot provokatīvu ziņojumu virknes, kas atbalsta sociālās inženierijas centienus. Claimloader pats par sevi ir DLL ielādētājs, ko izmantoja citu Mustang Panda vērtumu, piemēram, PUBLOAD, izvietošanai iepriekšējās kampaņās.
Šī operācija uzsver plašāku mērķtiecīgas pikšķerēšanas tendenci: tā vietā, lai paļautos uz sarežģītiem nulles dienas uzbrukumiem, progresīvas pastāvīgu draudu grupas bieži vien iegūst piekļuvi, izmantojot sociāli atbilstošus ēsmas elementus apvienojumā ar labi pārbaudītām izpildes metodēm, piemēram, DLL sānu ielādi. Lai gan LOTUSLITE trūkst ļoti uzlabotu izvairīšanās funkciju, tā vienkāršās komandvadības un kontroles iespējas un uzticamā izpildes plūsma padara to par praktisku rīku ilgtermiņa spiegošanai.
Kampaņa parāda, ka pat vienkāršas, pazīstamas metodes var saglabāt efektivitāti, ja tās tiek apvienotas ar inteliģentu mērķauditorijas atlasi un kontekstuāli atbilstošām pievilināšanas stratēģijām, īpaši cīņā pret augstas vērtības institucionālajiem tīkliem.
