LOTUSLITE Backdoor

安全研究人员发现了一场针对美国政府和政策机构的复杂恶意软件攻击活动，该活动利用时下热门的政治话题来诱骗受害者。攻击者将一个名为“美国正在决定委内瑞拉的下一步行动.zip”的ZIP压缩包嵌入到旨在吸引关注近期美委关系动态的收件人的鱼叉式网络钓鱼邮件中。如果打开该压缩包，它会通过DLL侧加载技术植入一个名为LOTUSLITE的后门程序。DLL侧加载技术利用合法应用程序来隐藏恶意载荷，从而逃避检测。目前尚不清楚是否有任何目标受害者成功中招。

此次攻击活动被初步认定为与中国官方有关联的网络间谍组织“野马熊猫”所为。这一认定基于以下几点：攻击策略和基础设施特征与此前该组织所采用的策略和基础设施特征存在重叠。“野马熊猫”以政治动机为目标，且惯于使用侧载攻击而非漏洞利用进行初始入侵。

交付和执行机制

该恶意 ZIP 文件包含一个诱饵可执行文件和一个动态链接库，该库通过 DLL 侧加载启动。DLL 侧加载是一种可靠的执行流程，其中良性进程会在无意中加载恶意库。Mustang Panda 在之前的行动中一直使用这种技术，包括推送像 TONESHELL 这样的后门程序。

一旦执行，植入的 DLL（名为 kugou.dll）便会充当一个专为间谍活动而设计的定制 C++ 后门。LOTUSLITE 利用 Windows WinHTTP API 与其硬编码的命令与控制 (C2) 服务器建立连接，从而实现远程命令和数据提取。

后门功能

LOTUSLITE 支持一系列核心操作，可实现远程控制和侦察。这些操作包括：

• 通过生成和控制 CMD shell 执行远程命令
• 文件系统交互，例如目录枚举、文件创建和数据追加
• 信标状态管理，用于控制与 C2 的通信。

以下是LOTUSLITE支持的完整命令集：

• 0x0A：启动远程 CMD shell
• 0x0B：终止远程 shell
• 0x01：通过 shell 发送命令
• 0x06：重置信标状态
• 0x03：枚举文件

• 0x0D：创建空文件

• 0x0E：将数据追加到文件

• 0x0F：检索信标状态

LOTUSLITE 还通过修改 Windows 注册表设置来确保持久性，以便在每次用户登录时自动执行。

行为特征和操作重点

安全分析师观察到，LOTUSLITE 的行为与 Mustang Panda 之前部署的工具（例如 Claimloader）非常相似，尤其是在嵌入诱导性消息字符串方面，这些字符串有助于进行社会工程攻击。Claimloader 本身就是一个 DLL 加载器，曾用于在早期的攻击活动中部署其他 Mustang Panda 有效载荷，例如 PUBLOAD。

此次行动凸显了定向鱼叉式网络钓鱼攻击的一个更广泛趋势：高级持续性威胁组织不再依赖复杂的零日漏洞，而是经常利用与社会相关的诱饵，结合经过充分验证的执行方法（例如 DLL 侧加载）来获取访问权限。尽管 LOTUSLITE 缺乏高度先进的规避功能，但其简单易用的命令与控制功能以及可靠的执行流程使其成为长期间谍活动的实用工具。

该活动表明，即使是简单、熟悉的技巧，如果与智能定位和与情境相关的诱饵相结合，也能保持有效，尤其是在针对高价值机构网络时。