LOTUSLITE బ్యాక్‌డోర్

భద్రతా పరిశోధకులు US ప్రభుత్వం మరియు విధాన సంస్థలను లక్ష్యంగా చేసుకుని, బాధితులను ఆకర్షించడానికి సకాలంలో రాజకీయ ఇతివృత్తాలను ఉపయోగించి ఒక అధునాతన మాల్వేర్ ప్రచారాన్ని కనుగొన్నారు. బెదిరింపు నటులు ఇటీవలి US-వెనిజులా పరిణామాలతో ఆందోళన చెందుతున్న గ్రహీతలను ఆకర్షించడానికి రూపొందించిన స్పియర్-ఫిషింగ్ సందేశాలలో 'US now deciding what's next for Venezuela.zip' అనే జిప్ ఆర్కైవ్‌ను పొందుపరిచారు. తెరిస్తే, ఈ ఆర్కైవ్ DLL సైడ్-లోడింగ్ ద్వారా LOTUSLITE అని పిలువబడే బ్యాక్‌డోర్‌ను అందిస్తుంది, ఇది హానికరమైన పేలోడ్‌లను దాచడానికి మరియు గుర్తింపును తప్పించుకోవడానికి చట్టబద్ధమైన అప్లికేషన్‌లను ఉపయోగించుకునే పద్ధతి. ఉద్దేశించిన బాధితుల్లో ఎవరైనా విజయవంతంగా రాజీ పడ్డారా అనేది అస్పష్టంగానే ఉంది.

ఈ ప్రచారం రాష్ట్ర-సంబంధిత చైనీస్ సైబర్‌స్పయోనేజ్ గ్రూప్ ముస్తాంగ్ పాండాకు మితమైన విశ్వాసంతో ఆపాదించబడింది. ఈ సమూహంతో గతంలో ముడిపడి ఉన్న అతివ్యాప్తి చెందుతున్న వ్యూహాత్మక విధానాలు మరియు మౌలిక సదుపాయాల పాదముద్రలపై ఈ లక్షణం ఆధారపడి ఉంది, ఇది రాజకీయంగా నడిచే లక్ష్యానికి మరియు దోపిడీ-ఆధారిత ప్రారంభ యాక్సెస్ కంటే సైడ్-లోడింగ్‌కు అనుకూలంగా ఉండటంలో ప్రసిద్ధి చెందింది.

డెలివరీ మరియు అమలు యంత్రాంగం

హానికరమైన జిప్‌లో డెకాయ్ ఎక్జిక్యూటబుల్ మరియు డైనమిక్-లింక్ లైబ్రరీ ఉన్నాయి, ఇది DLL సైడ్-లోడింగ్ ద్వారా ప్రారంభించబడుతుంది, ఇది ఒక నమ్మకమైన అమలు ప్రవాహం, దీనిలో ఒక నిరపాయకరమైన ప్రక్రియ అనుకోకుండా హానికరమైన లైబ్రరీని లోడ్ చేస్తుంది. ముస్తాంగ్ పాండా మునుపటి కార్యకలాపాలలో ఈ సాంకేతికతను స్థిరంగా ఉపయోగించింది, TONESHELL వంటి బ్యాక్‌డోర్‌లను నెట్టడం సహా.

అమలు చేయబడిన తర్వాత, అమర్చబడిన DLL (kugou.dll అని పేరు పెట్టబడింది) గూఢచర్య పనుల కోసం రూపొందించబడిన కస్టమ్ C++ బ్యాక్‌డోర్‌గా పనిచేస్తుంది. LOTUSLITE Windows WinHTTP APIని ఉపయోగించడం ద్వారా రిమోట్ కమాండ్‌లు మరియు డేటా వెలికితీతను ప్రారంభించడం ద్వారా దాని హార్డ్-కోడెడ్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు కనెక్షన్‌ను ఏర్పాటు చేస్తుంది.

బ్యాక్‌డోర్ సామర్థ్యాలు

LOTUSLITE రిమోట్ కంట్రోల్ మరియు నిఘాను సులభతరం చేసే కొన్ని ప్రధాన కార్యకలాపాలకు మద్దతు ఇస్తుంది. వీటిలో ఇవి ఉన్నాయి:

• CMD షెల్‌ను స్పానింగ్ చేయడం మరియు నియంత్రించడం ద్వారా రిమోట్ కమాండ్ అమలు
• డైరెక్టరీ ఎన్యూమరేషన్, ఫైల్ సృష్టి మరియు డేటా అనుబంధం వంటి ఫైల్ సిస్టమ్ పరస్పర చర్యలు
• బీకాన్ స్థితి నిర్వహణ, ఇది C2 తో కమ్యూనికేషన్‌ను నియంత్రిస్తుంది

LOTUSLITE ద్వారా మద్దతు ఇవ్వబడిన పూర్తి కమాండ్ సెట్ ఇక్కడ ఉంది:

• 0x0A: రిమోట్ CMD షెల్‌ను ప్రారంభించండి
• 0x0B: రిమోట్ షెల్‌ను ముగించండి
• 0x01: షెల్ ద్వారా ఆదేశాలను పంపండి
• 0x06: బీకాన్ స్థితిని రీసెట్ చేయండి
• 0x03: ఫైళ్ళను లెక్కించండి

• 0x0D: ఖాళీ ఫైల్‌ను సృష్టించండి

• 0x0E: ఫైల్‌కు డేటాను జోడించండి

• 0x0F: బీకాన్ స్థితిని తిరిగి పొందండి

LOTUSLITE విండోస్ రిజిస్ట్రీ సెట్టింగ్‌లను మార్చడం ద్వారా నిలకడను కూడా నిర్ధారిస్తుంది, తద్వారా ఇది ప్రతి యూజర్ లాగిన్ వద్ద స్వయంచాలకంగా అమలు అవుతుంది.

ప్రవర్తనా లక్షణాలు మరియు కార్యాచరణ దృష్టి

భద్రతా విశ్లేషకులు గమనించిన దాని ప్రకారం, LOTUSLITE అనేది ముస్తాంగ్ పాండా అమలు చేసిన మునుపటి సాధనాలైన క్లెయిమ్‌లోడర్ వంటి వాటితో ప్రవర్తనా సారూప్యతలను ప్రదర్శిస్తుంది, ముఖ్యంగా సోషల్ ఇంజనీరింగ్ ప్రయత్నాలకు మద్దతు ఇచ్చే రెచ్చగొట్టే సందేశ స్ట్రింగ్‌లను పొందుపరుస్తుంది. క్లెయిమ్‌లోడర్ అనేది మునుపటి ప్రచారాలలో PUBLOAD వంటి ఇతర ముస్తాంగ్ పాండా పేలోడ్‌లను అమలు చేయడానికి ఉపయోగించే DLL లోడర్.

ఈ ఆపరేషన్ లక్ష్యంగా చేసుకున్న స్పియర్-ఫిషింగ్‌లో విస్తృత ధోరణిని నొక్కి చెబుతుంది: సంక్లిష్టమైన జీరో-డే దోపిడీలపై ఆధారపడకుండా, అధునాతన నిరంతర ముప్పు సమూహాలు తరచుగా DLL సైడ్-లోడింగ్ వంటి బాగా పరీక్షించబడిన అమలు పద్ధతులతో కలిపి సామాజికంగా సంబంధిత ఎరల ద్వారా ప్రాప్యతను సాధిస్తాయి. LOTUSLITE అత్యంత అధునాతన ఎగవేత లక్షణాలను కలిగి లేనప్పటికీ, దాని సరళమైన కమాండ్-అండ్-కంట్రోల్ సామర్థ్యాలు మరియు నమ్మదగిన అమలు ప్రవాహం దీర్ఘకాలిక గూఢచర్యానికి దీనిని ఆచరణాత్మక సాధనంగా చేస్తాయి.

ముఖ్యంగా అధిక-విలువైన సంస్థాగత నెట్‌వర్క్‌లకు వ్యతిరేకంగా, తెలివైన లక్ష్యం మరియు సందర్భోచితంగా సంబంధిత ఎరలతో జత చేసినప్పుడు సరళమైన, సుపరిచితమైన పద్ధతులు కూడా ప్రభావవంతంగా ఉంటాయని ఈ ప్రచారం నిరూపిస్తుంది.