LOTUSLITE Bakdør
Sikkerhetsforskere har avdekket en sofistikert skadevarekampanje rettet mot amerikanske myndigheter og politiske institusjoner, der de bruker aktuelle politiske temaer for å lokke ofre. Trusselaktørene innebygde et ZIP-arkiv med tittelen «USA bestemmer nå hva som skjer videre for Venezuela.zip» i spear-phishing-meldinger som er utformet for å appellere til mottakere som er bekymret for den siste utviklingen mellom USA og Venezuela. Hvis dette arkivet åpnes, leverer det en bakdør kjent som LOTUSLITE via DLL-sidelasting, en metode som utnytter legitime applikasjoner for å skjule ondsinnede nyttelaster og unngå oppdagelse. Det er fortsatt uklart om noen av de tiltenkte ofrene ble kompromittert.
Kampanjen har med moderat sikkerhet blitt tilskrevet den statstilknyttede kinesiske cyberspionasjegruppen Mustang Panda. Denne tilskrivelsen er basert på overlappende taktiske tilnærminger og infrastrukturelle fotavtrykk som tidligere har vært knyttet til denne gruppen, som er godt kjent for politisk drevet målretting og for å favorisere sidelasting fremfor utnyttelsesbasert initial tilgang.
Innholdsfortegnelse
Leverings- og utførelsesmekanisme
Den skadelige ZIP-filen inneholder en kjørbar fil som kan føre til at det blir installert, og et dynamisk lenkebibliotek som startes via DLL-sidelasting, en pålitelig utførelsesflyt der en godartet prosess utilsiktet laster inn et skadelig bibliotek. Mustang Panda har konsekvent brukt denne teknikken i tidligere operasjoner, inkludert å pushe bakdører som TONESHELL.
Når den er kjørt, fungerer den implanterte DLL-filen (kalt kugou.dll) som en tilpasset C++-bakdør konstruert for spionasjeoppgaver. LOTUSLITE oppretter forbindelse til sin hardkodede Command-and-Control (C2)-server ved å utnytte Windows WinHTTP API, noe som muliggjør eksterne kommandoer og datautvinning.
Bakdørsfunksjoner
LOTUSLITE støtter et sett med kjerneoperasjoner som muliggjør fjernkontroll og rekognosering. Disse inkluderer:
- Fjernutførelse av kommandoer via spawning og kontroll av et CMD-skall
- Filsysteminteraksjoner, for eksempel katalogopplisting, filoppretting og datatilføying
- Beacon-statusstyring, som kontrollerer kommunikasjonen med C2
Her er det komplette kommandosettet som støttes av LOTUSLITE:
- 0x0A: Start eksternt CMD-skall
- 0x0B: Avslutt eksternt skall
- 0x01: Send kommandoer gjennom skallet
- 0x06: Tilbakestill beacon-status
- 0x03: List opp filer
- 0x0D: Opprett tom fil
- 0x0E: Legg til data i filen
- 0x0F: Hent beacon-status
LOTUSLITE sikrer også utholdenhet ved å endre Windows-registerinnstillingene slik at det kjøres automatisk ved hver brukerpålogging.
Atferdstrekk og operasjonelt fokus
Sikkerhetsanalytikere observerte at LOTUSLITE viser atferdsmessige likheter med tidligere verktøy implementert av Mustang Panda, som Claimloader, spesielt ved å innebygge provoserende meldingsstrenger som støtter sosial manipulering. Claimloader er i seg selv en DLL-laster som brukes til å distribuere andre Mustang Panda-nyttelaster som PUBLOAD i tidligere kampanjer.
Denne operasjonen understreker en bredere trend innen målrettet spear-phishing: i stedet for å stole på komplekse nulldagsangrep, oppnår avanserte, vedvarende trusselgrupper ofte tilgang gjennom sosialt relevante lokkemidler kombinert med velprøvde utførelsesmetoder som DLL-sidelasting. Selv om LOTUSLITE mangler svært avanserte unnvikelsesfunksjoner, gjør de enkle kommando-og-kontroll-funksjonene og den pålitelige utførelsesflyten det til et praktisk verktøy for langsiktig spionasje.
Kampanjen viser at selv enkle, kjente teknikker kan forbli effektive når de kombineres med intelligent målretting og kontekstuelt relevante lokkemidler, spesielt mot institusjonelle nettverk med høy verdi.
