Бекдор LOTUSLITE
Дослідники з безпеки виявили складну кампанію шкідливого програмного забезпечення, спрямовану на уряд США та політичні інституції, яка використовувала актуальні політичні теми для заманювання жертв. Зловмисники вбудовували ZIP-архів під назвою «США зараз вирішують, що далі для Венесуели.zip» у фішингові повідомлення, призначені для одержувачів, стурбованих останніми подіями у відносинах між США та Венесуелою. Якщо відкрити цей архів, він доставляє бекдор, відомий як LOTUSLITE, через стороннє завантаження DLL – метод, який використовує легітимні програми для приховування шкідливих корисних даних та уникнення виявлення. Залишається незрозумілим, чи були успішно скомпрометовані якісь із передбачуваних жертв.
Цю кампанію з помірною впевненістю приписують пов'язаній з державою китайській групі кібершпигунів Mustang Panda. Це пояснення ґрунтується на збігу тактичних підходів та інфраструктурних слідів, які раніше пов'язували з цією групою, відомою своїм політично мотивованим таргетуванням та перевагою стороннього завантаження над початковим доступом на основі експлойтів.
Зміст
Механізм доставки та виконання
Шкідливий ZIP-архів містить виконуваний файл-приманку та бібліотеку динамічного компонування, яка запускається через стороннє завантаження DLL – надійний процес виконання, в якому доброякісний процес ненавмисно завантажує шкідливу бібліотеку. Mustang Panda послідовно використовувала цю техніку в попередніх операціях, включаючи створення бекдорів, таких як TONESHELL.
Після виконання імплантована DLL-бібліотека (з назвою kugou.dll) діє як спеціальний бекдор на C++, розроблений для шпигунських завдань. LOTUSLITE встановлює з'єднання зі своїм жорстко закодованим сервером командування та управління (C2), використовуючи API Windows WinHTTP, що дозволяє виконувати віддалені команди та витягувати дані.
Можливості бекдору
LOTUSLITE підтримує набір основних операцій, що сприяють дистанційному керуванню та розвідці. До них належать:
- Віддалене виконання команд через створення та керування оболонкою CMD
- Взаємодія з файловою системою, така як перерахування каталогів, створення файлів та додавання даних
- Управління станом маяка, яке контролює зв'язок з командуванням C2
Ось повний набір команд, що підтримується LOTUSLITE:
- 0x0A: Ініціювати віддалену оболонку CMD
- 0x0B: Завершити віддалену оболонку
- 0x01: Надсилання команд через оболонку
- 0x06: Скидання стану маяка
- 0x03: Перерахувати файли
- 0x0D: Створити порожній файл
- 0x0E: Додати дані до файлу
- 0x0F: Отримати статус маяка
LOTUSLITE також забезпечує збереження, змінюючи параметри реєстру Windows, щоб він виконувався автоматично під час кожного входу користувача в систему.
Поведінкові риси та операційна спрямованість
Аналітики з безпеки зазначили, що LOTUSLITE демонструє поведінкову схожість з попередніми інструментами, розгорнутими Mustang Panda, такими як Claimloader, зокрема, вбудовуючи провокаційні рядки повідомлень, що підтримують зусилля соціальної інженерії. Claimloader сам по собі є завантажувачем DLL, який використовувався для розгортання інших корисних навантажень Mustang Panda, таких як PUBLOAD, у попередніх кампаніях.
Ця операція підкреслює ширшу тенденцію цілеспрямованого фішингу: замість того, щоб покладатися на складні експлойти нульового дня, передові групи стійких загроз часто отримують доступ за допомогою соціально релевантних приманок у поєднанні з добре перевіреними методами виконання, такими як завантаження DLL. Хоча LOTUSLITE не має високорозвинених функцій ухилення, його прості можливості командування та управління та надійний потік виконання роблять його практичним інструментом для довгострокового шпигунства.
Кампанія демонструє, що навіть прості, знайомі методи можуть залишатися ефективними в поєднанні з розумним таргетуванням та контекстуально релевантними приманками, особливо проти цінних інституційних мереж.
