Multi-License Discount Quote
Banta sa Database Malware LOTUSLITE Backdoor

LOTUSLITE Backdoor

Sa pamamagitan ng Mezo sa Malware, Advanced Persistent Threat (APT), Mga backdoor
Isalin To:

Natuklasan ng mga mananaliksik sa seguridad ang isang sopistikadong kampanya ng malware na naglalayong itago ang gobyerno at mga institusyon ng patakaran ng US, gamit ang napapanahong mga temang pampulitika upang maakit ang mga biktima. Nag-embed ang mga aktor ng banta ng isang ZIP archive na pinamagatang 'US now deciding what's next for Venezuela.zip' sa mga mensaheng spear-phishing na idinisenyo upang makaakit ng mga tatanggap na may kinalaman sa mga kamakailang pag-unlad sa pagitan ng US at Venezuela. Kung bubuksan, ang archive na ito ay maghahatid ng isang backdoor na kilala bilang LOTUSLITE sa pamamagitan ng DLL side-loading, isang pamamaraan na gumagamit ng mga lehitimong application upang itago ang mga malisyosong payload at maiwasan ang pagtuklas. Nananatiling hindi malinaw kung ang alinman sa mga nilalayong biktima ay matagumpay na nakompromiso.

Ang kampanya ay may katamtamang kumpiyansa na iniuugnay sa grupong cyberespionage ng Tsina na Mustang Panda na may kaugnayan sa estado. Ang pagpapalagay na ito ay batay sa magkakapatong na mga taktikal na pamamaraan at mga bakas ng imprastraktura na dating nauugnay sa grupong ito, na kilala sa pag-target na hinimok ng politika at sa pagpabor sa side-loading kaysa sa paunang pag-access na nakabatay sa pagsasamantala.

Mekanismo ng Paghahatid at Pagsasagawa

Ang malisyosong ZIP ay naglalaman ng isang decoy executable at isang dynamic-link library na inilulunsad sa pamamagitan ng DLL side-loading, isang maaasahang daloy ng pagpapatupad kung saan ang isang hindi mapanlinlang na proseso ay hindi sinasadyang naglo-load ng isang malisyosong library. Palaging ginagamit ng Mustang Panda ang pamamaraang ito sa mga naunang operasyon, kabilang ang pagtulak ng mga backdoor tulad ng TONESHELL.

Kapag naisakatuparan na, ang itinanim na DLL (pinangalanang kugou.dll) ay gumaganap bilang isang pasadyang C++ backdoor na ginawa para sa mga gawaing pang-espiya. Ang LOTUSLITE ay nagtatatag ng koneksyon sa hard-coded Command-and-Control (C2) server nito sa pamamagitan ng paggamit ng Windows WinHTTP API, na nagpapagana ng mga remote command at pagkuha ng data.

Mga Kakayahan sa Backdoor

Sinusuportahan ng LOTUSLITE ang isang hanay ng mga pangunahing operasyon na nagpapadali sa remote control at reconnaissance. Kabilang dito ang:

  • Malayuang pagpapatupad ng utos sa pamamagitan ng pag-spawning at pagkontrol sa isang CMD shell
  • Mga interaksyon sa file system, tulad ng pagbilang ng direktoryo, paglikha ng file, at pagdaragdag ng data
  • Pamamahala ng katayuan ng Beacon, na kumokontrol sa komunikasyon sa C2

Narito ang kumpletong hanay ng mga utos na sinusuportahan ng LOTUSLITE:

  • 0x0A: Simulan ang remote na CMD shell
  • 0x0B: Wakasan ang remote shell
  • 0x01: Magpadala ng mga utos sa pamamagitan ng shell
  • 0x06: I-reset ang estado ng beacon
  • 0x03: Isa-isahin ang mga file
  • 0x0D: Gumawa ng walang laman na file
  • 0x0E: Idagdag ang datos sa file
  • 0x0F: Kunin ang katayuan ng beacon

Tinitiyak din ng LOTUSLITE ang katatagan sa pamamagitan ng pagbabago sa mga setting ng Windows Registry upang awtomatiko itong gumana sa bawat pag-login ng user.

Mga Katangian ng Pag-uugali at Pokus sa Operasyon

Napansin ng mga security analyst na ang LOTUSLITE ay nagpapakita ng mga pagkakatulad sa pag-uugali sa mga nakaraang tool na ginamit ng Mustang Panda, tulad ng Claimloader, na kapansin-pansing naglalagay ng mga nakakapukaw na string ng mensahe na sumusuporta sa mga pagsisikap sa social engineering. Ang Claimloader mismo ay isang DLL loader na ginagamit upang mag-deploy ng iba pang mga payload ng Mustang Panda tulad ng PUBLOAD sa mga naunang kampanya.

Binibigyang-diin ng operasyong ito ang mas malawak na trend sa naka-target na spear-phishing: sa halip na umasa sa mga kumplikadong zero-day exploit, ang mga advanced na persistent threat group ay kadalasang nakakamit ng access sa pamamagitan ng mga pang-akit na may kaugnayan sa lipunan na sinamahan ng mga mahusay na nasubukang paraan ng pagpapatupad tulad ng DLL side-loading. Bagama't kulang ang LOTUSLITE sa mga highly advanced evasion feature, ang prangka nitong kakayahan sa Command-and-Control at maaasahang daloy ng pagpapatupad ay ginagawa itong isang praktikal na tool para sa pangmatagalang paniniktik.

Ipinapakita ng kampanya na kahit ang simple at pamilyar na mga pamamaraan ay maaaring manatiling epektibo kapag sinamahan ng matalinong pag-target at mga pang-akit na may kaugnayan sa konteksto, lalo na laban sa mga network ng institusyon na may mataas na halaga.

Trending

Pinaka Nanood

Naglo-load...