Zadnja vrata LOTUSLITE
Varnostni raziskovalci so odkrili sofisticirano kampanjo zlonamerne programske opreme, namenjeno ameriški vladi in političnim institucijam, ki je za privabljanje žrtev uporabljala aktualne politične teme. Grozljivci so v lažna sporočila, namenjena privabljanju prejemnikov, ki jih skrbi nedavni razvoj dogodkov med ZDA in Venezuelo, vdelali arhiv ZIP z naslovom »ZDA zdaj odločajo, kaj je naslednje za Venezuelo.zip«. Če ga odprete, ta arhiv prek stranskega nalaganja DLL, metode, ki izkorišča legitimne aplikacije za prikrivanje zlonamernih koristnih vsebin in izogibanje odkrivanju, odpre zadnja vrata, znana kot LOTUSLITE. Ni jasno, ali je bila katera od predvidenih žrtev uspešno ogrožena.
Kampanja je bila z zmerno gotovostjo pripisana kitajski kibernetski vohunski skupini Mustang Panda, povezani z državo. Ta pripis temelji na prekrivajočih se taktičnih pristopih in infrastrukturnih odtisih, ki so bili prej povezani s to skupino, znano po politično motiviranem ciljanju in dajanju prednosti stranskemu nalaganju pred začetnim dostopom, ki temelji na izkoriščanju.
Kazalo
Mehanizem dostave in izvedbe
Zlonamerna datoteka ZIP vsebuje vabljivo izvedljivo datoteko in dinamično povezovalno knjižnico, ki se zažene s stranskim nalaganjem DLL, zanesljivim potekom izvajanja, pri katerem neškodljiv proces nenamerno naloži zlonamerno knjižnico. Mustang Panda je to tehniko dosledno uporabljal v prejšnjih operacijah, vključno s potiskanjem zadnjih vrat, kot je TONESHELL.
Ko se vsajena DLL datoteka (z imenom kugou.dll) zažene, deluje kot prilagojena zadnja vrata C++, zasnovana za vohunske naloge. LOTUSLITE vzpostavi povezavo s svojim trdo kodiranim strežnikom Command-and-Control (C2) z uporabo Windows WinHTTP API-ja, kar omogoča oddaljene ukaze in ekstrakcijo podatkov.
Zmogljivosti zadnjih vrat
LOTUSLITE podpira niz ključnih operacij, ki omogočajo daljinsko upravljanje in izvidovanje. Te vključujejo:
- Izvajanje oddaljenih ukazov prek zagona in nadzora lupine CMD
- Interakcije datotečnega sistema, kot so naštevanje imenikov, ustvarjanje datotek in dodajanje podatkov
- Upravljanje statusa oddajnika, ki nadzoruje komunikacijo s C2
Tukaj je celoten nabor ukazov, ki jih podpira LOTUSLITE:
- 0x0A: Zaženi oddaljeno lupino CMD
- 0x0B: Zaključi oddaljeno lupino
- 0x01: Pošlji ukaze prek lupine
- 0x06: Ponastavi stanje svetilnika
- 0x03: Naštej datoteke
- 0x0D: Ustvari prazno datoteko
- 0x0E: Dodaj podatke v datoteko
- 0x0F: Pridobi stanje svetilnika
LOTUSLITE zagotavlja tudi vztrajnost s spreminjanjem nastavitev registra sistema Windows, tako da se samodejno zažene ob vsaki prijavi uporabnika.
Vedenjske lastnosti in operativna osredotočenost
Varnostni analitiki so opazili, da LOTUSLITE kaže vedenjske podobnosti s prejšnjimi orodji, ki jih je uporabljal Mustang Panda, kot je Claimloader, predvsem z vdelavo provokativnih sporočilnih nizov, ki podpirajo prizadevanja socialnega inženiringa. Claimloader je sam po sebi nalagalnik DLL, ki se uporablja za nameščanje drugih koristnih tovorov Mustang Panda, kot je PUBLOAD, v prejšnjih kampanjah.
Ta operacija poudarja širši trend ciljno usmerjenega spear phishinga: namesto da bi se zanašale na kompleksne izkoriščanja ničelnega dne, napredne skupine vztrajnih groženj pogosto dosežejo dostop prek družbeno pomembnih vab v kombinaciji z dobro preizkušenimi metodami izvajanja, kot je stransko nalaganje DLL. Čeprav LOTUSLITE nima zelo naprednih funkcij izogibanja, ga njegove preproste zmogljivosti upravljanja in nadzora ter zanesljiv potek izvajanja naredijo praktično orodje za dolgoročno vohunjenje.
Kampanja dokazuje, da lahko tudi preproste, znane tehnike ostanejo učinkovite, če so združene z inteligentnim ciljanjem in kontekstualno ustreznimi vabami, zlasti proti institucionalnim mrežam z visoko vrednostjo.
