Cửa sau LOTUSLITE
Các nhà nghiên cứu bảo mật đã phát hiện ra một chiến dịch phần mềm độc hại tinh vi nhắm vào chính phủ và các thể chế hoạch định chính sách của Hoa Kỳ, sử dụng các chủ đề chính trị thời sự để dụ dỗ nạn nhân. Những kẻ tấn công đã nhúng một tệp lưu trữ ZIP có tiêu đề 'US now deciding what's next for Venezuela.zip' vào các tin nhắn lừa đảo có chủ đích, được thiết kế để thu hút những người nhận quan tâm đến các diễn biến gần đây giữa Hoa Kỳ và Venezuela. Nếu được mở, tệp lưu trữ này sẽ cài đặt một cửa hậu có tên LOTUSLITE thông qua phương pháp tải DLL bên ngoài (DLL side-loading), một phương pháp tận dụng các ứng dụng hợp pháp để che giấu các phần mềm độc hại và tránh bị phát hiện. Hiện vẫn chưa rõ liệu có nạn nhân nào bị xâm nhập thành công hay không.
Chiến dịch này được cho là do nhóm gián điệp mạng Mustang Panda của Trung Quốc, một tổ chức có liên hệ với nhà nước, thực hiện với độ tin cậy tương đối vừa phải. Sự quy kết này dựa trên sự trùng lặp về các phương pháp chiến thuật và dấu vết cơ sở hạ tầng đã từng được liên kết với nhóm này, vốn nổi tiếng với việc nhắm mục tiêu theo động cơ chính trị và ưu tiên cài đặt phần mềm độc hại từ bên ngoài hơn là khai thác lỗ hổng bảo mật ban đầu.
Mục lục
Cơ chế phân phối và thực thi
Tệp ZIP độc hại chứa một tệp thực thi giả mạo và một thư viện liên kết động được khởi chạy thông qua cơ chế tải DLL bên ngoài (DLL side-loading), một luồng thực thi đáng tin cậy trong đó một tiến trình lành tính vô tình tải một thư viện độc hại. Mustang Panda đã liên tục sử dụng kỹ thuật này trong các hoạt động trước đây, bao gồm cả việc phát tán các cửa hậu như TONESHELL.
Sau khi được thực thi, tệp DLL được cấy ghép (có tên kugou.dll) hoạt động như một cửa hậu C++ tùy chỉnh được thiết kế cho các nhiệm vụ gián điệp. LOTUSLITE thiết lập kết nối với máy chủ Điều khiển và Giám sát (C2) được mã hóa cứng bằng cách tận dụng API WinHTTP của Windows, cho phép thực thi các lệnh từ xa và trích xuất dữ liệu.
Khả năng cửa sau
LOTUSLITE hỗ trợ một tập hợp các hoạt động cốt lõi giúp điều khiển từ xa và trinh sát. Chúng bao gồm:
- Thực thi lệnh từ xa thông qua việc tạo và điều khiển cửa sổ lệnh CMD.
- Tương tác với hệ thống tập tin, chẳng hạn như liệt kê thư mục, tạo tập tin và ghi thêm dữ liệu.
- Quản lý trạng thái tín hiệu, điều khiển việc liên lạc với C2.
Dưới đây là bộ lệnh đầy đủ được LOTUSLITE hỗ trợ:
- 0x0A: Khởi tạo trình shell CMD từ xa
- 0x0B: Kết thúc trình shell từ xa
- 0x01: Gửi lệnh thông qua shell
- 0x06: Đặt lại trạng thái đèn hiệu
- 0x03: Liệt kê các tệp
- 0x0D: Tạo tệp trống
- 0x0E: Thêm dữ liệu vào tệp
- 0x0F: Truy xuất trạng thái đèn hiệu
LOTUSLITE cũng đảm bảo tính bền vững bằng cách thay đổi các thiết lập trong Windows Registry để nó tự động thực thi mỗi khi người dùng đăng nhập.
Đặc điểm hành vi và trọng tâm hoạt động
Các nhà phân tích bảo mật nhận thấy LOTUSLITE có những điểm tương đồng về hành vi với các công cụ trước đây do Mustang Panda triển khai, chẳng hạn như Claimloader, đặc biệt là việc nhúng các chuỗi thông điệp mang tính khiêu khích nhằm hỗ trợ các nỗ lực tấn công phi kỹ thuật. Bản thân Claimloader là một trình tải DLL được sử dụng để triển khai các payload khác của Mustang Panda như PUBLOAD trong các chiến dịch trước đó.
Chiến dịch này nhấn mạnh một xu hướng rộng hơn trong tấn công lừa đảo có chủ đích: thay vì dựa vào các lỗ hổng bảo mật chưa được vá phức tạp, các nhóm tấn công dai dẳng tiên tiến thường giành được quyền truy cập thông qua các chiêu trò có liên quan đến mạng xã hội kết hợp với các phương pháp thực thi đã được kiểm chứng như tải DLL trái phép. Mặc dù LOTUSLITE thiếu các tính năng né tránh tiên tiến, nhưng khả năng điều khiển và kiểm soát đơn giản cùng luồng thực thi đáng tin cậy khiến nó trở thành một công cụ thiết thực cho hoạt động gián điệp lâu dài.
Chiến dịch này chứng minh rằng ngay cả những kỹ thuật đơn giản, quen thuộc cũng có thể vẫn hiệu quả khi được kết hợp với việc nhắm mục tiêu thông minh và các chiêu trò phù hợp với ngữ cảnh, đặc biệt là đối với các mạng lưới tổ chức có giá trị cao.
