Tylne drzwi LOTUSLITE
Badacze bezpieczeństwa odkryli wyrafinowaną kampanię złośliwego oprogramowania wymierzoną w rząd i instytucje polityczne USA, wykorzystującą aktualne tematy polityczne, aby zwabić ofiary. Aktorzy zagrożeń umieścili archiwum ZIP o nazwie „US now decision what's next for Venezuela.zip” w wiadomościach typu spear phishing, mających na celu przyciągnięcie odbiorców zaniepokojonych ostatnimi wydarzeniami na linii USA–Wenezuela. Po otwarciu archiwum, poprzez boczne ładowanie bibliotek DLL, przestępcy udostępniają backdoora znanego jako LOTUSLITE – metodę wykorzystującą legalne aplikacje do ukrywania złośliwych treści i unikania wykrycia. Nie jest jasne, czy którakolwiek z potencjalnych ofiar została skutecznie zhakowana.
Kampanię z umiarkowanym prawdopodobieństwem przypisano powiązanej z państwem chińskiej grupie cybernetycznej Mustang Panda. Atrybucja ta opiera się na nakładających się podejściach taktycznych i infrastrukturze, wcześniej powiązanej z tą grupą, znaną z ataków motywowanych politycznie i faworyzowania sideloadingu nad dostępem opartym na exploitach.
Spis treści
Mechanizm dostarczania i realizacji
Złośliwy plik ZIP zawiera plik wykonywalny-wabik oraz bibliotekę DLL, która jest uruchamiana poprzez boczne ładowanie bibliotek DLL – niezawodny proces, w którym łagodny proces nieumyślnie ładuje złośliwą bibliotekę. Mustang Panda konsekwentnie stosował tę technikę w poprzednich operacjach, w tym do wprowadzania tylnych furtek, takich jak TONESHELL.
Po uruchomieniu, wszczepiona biblioteka DLL (o nazwie kugou.dll) działa jak niestandardowy backdoor w C++, zaprojektowany do celów szpiegowskich. LOTUSLITE nawiązuje połączenie ze swoim zakodowanym na stałe serwerem Command-and-Control (C2), wykorzystując interfejs API Windows WinHTTP, umożliwiając zdalne wykonywanie poleceń i ekstrakcję danych.
Możliwości tylnych drzwi
LOTUSLITE obsługuje szereg podstawowych operacji, które ułatwiają zdalne sterowanie i rozpoznanie. Należą do nich:
- Zdalne wykonywanie poleceń poprzez tworzenie i kontrolowanie powłoki CMD
- Interakcje systemu plików, takie jak wyliczanie katalogów, tworzenie plików i dołączanie danych
- Zarządzanie stanem sygnału radiowego, które kontroluje komunikację z C2
Oto kompletny zestaw poleceń obsługiwanych przez LOTUSLITE:
- 0x0A: Inicjuj zdalną powłokę CMD
- 0x0B: Zakończ działanie powłoki zdalnej
- 0x01: Wysyłanie poleceń przez powłokę
- 0x06: Zresetuj stan sygnalizatora
- 0x03: Wylicz pliki
- 0x0D: Utwórz pusty plik
- 0x0E: Dołącz dane do pliku
- 0x0F: Pobierz status sygnału nawigacyjnego
LOTUSLITE zapewnia również trwałość poprzez zmianę ustawień rejestru systemu Windows tak, aby uruchamiał się automatycznie przy każdym logowaniu użytkownika.
Cechy behawioralne i skupienie operacyjne
Analitycy bezpieczeństwa zaobserwowali, że LOTUSLITE wykazuje podobieństwa w zachowaniu do poprzednich narzędzi wdrożonych przez Mustang Panda, takich jak Claimloader, w szczególności osadzając prowokacyjne ciągi wiadomości, które wspierają działania socjotechniczne. Claimloader sam w sobie jest modułem ładującym biblioteki DLL, używanym do wdrażania innych ładunków Mustang Panda, takich jak PUBLOAD, we wcześniejszych kampaniach.
Ta operacja podkreśla szerszy trend w ukierunkowanym phishingu ukierunkowanym: zamiast polegać na złożonych atakach typu zero-day, zaawansowane, uporczywe grupy cyberprzestępcze często uzyskują dostęp za pomocą społecznie istotnych przynęt w połączeniu z dobrze przetestowanymi metodami wykonywania, takimi jak boczne ładowanie bibliotek DLL. Chociaż LOTUSLITE nie posiada zaawansowanych funkcji unikania ataków, jego proste funkcje Command-and-Control oraz niezawodny przepływ wykonywania czynią go praktycznym narzędziem do długoterminowego szpiegostwa.
Kampania pokazuje, że nawet proste, znane techniki mogą okazać się skuteczne, jeśli połączy się je z inteligentnym targetowaniem i kontekstowo istotnymi przynętami, zwłaszcza w przypadku sieci instytucjonalnych o dużej wartości.
