LOTUSLITE Backdoor

كشف باحثون أمنيون عن حملة برمجيات خبيثة متطورة استهدفت مؤسسات حكومية وسياسية أمريكية، مستخدمةً مواضيع سياسية آنية لاستدراج الضحايا. وقد قام المهاجمون بتضمين ملف مضغوط بعنوان "الولايات المتحدة تقرر الآن ما هو التالي لفنزويلا.zip" في رسائل تصيد احتيالي مصممة لجذب انتباه المتلقين المهتمين بالتطورات الأخيرة في العلاقات الأمريكية الفنزويلية. عند فتح هذا الملف، يتم تثبيت باب خلفي يُعرف باسم LOTUSLITE عبر تحميل ملفات DLL جانبية، وهي طريقة تستغل التطبيقات الشرعية لإخفاء حمولات خبيثة وتجنب الكشف عنها. ولا يزال من غير الواضح ما إذا كان أي من الضحايا المستهدفين قد تم اختراقه بنجاح.

نُسبت الحملة، بدرجة ثقة متوسطة، إلى مجموعة التجسس الإلكتروني الصينية "موستانغ باندا" المرتبطة بالدولة. ويستند هذا الإسناد إلى تداخل الأساليب التكتيكية وبصمات البنية التحتية المرتبطة سابقًا بهذه المجموعة، المعروفة باستهدافها للأهداف السياسية وتفضيلها تحميل البرامج الضارة من مصادر خارجية على الوصول الأولي القائم على استغلال الثغرات الأمنية.

آلية التسليم والتنفيذ

يحتوي ملف ZIP الخبيث على ملف تنفيذي وهمي ومكتبة ارتباط ديناميكي يتم تشغيلها عبر تحميل جانبي لمكتبة الارتباط الديناميكي، وهي آلية تنفيذ موثوقة حيث يقوم برنامج سليم بتحميل مكتبة خبيثة عن غير قصد. وقد استخدمت مجموعة موستانج باندا هذه التقنية باستمرار في عمليات سابقة، بما في ذلك زرع أبواب خلفية مثل TONESHELL.

بمجرد تشغيلها، تعمل مكتبة الارتباط الديناميكي (المسماة kugou.dll) المزروعة كباب خلفي مخصص مكتوب بلغة C++ مصمم لمهام التجسس. يقوم برنامج LOTUSLITE بإنشاء اتصال بخادم التحكم والسيطرة (C2) المدمج فيه باستخدام واجهة برمجة تطبيقات WinHTTP الخاصة بنظام Windows، مما يتيح إصدار أوامر عن بُعد واستخراج البيانات.

إمكانيات الباب الخلفي

يدعم نظام LOTUSLITE مجموعة من العمليات الأساسية التي تسهل التحكم عن بعد والاستطلاع. وتشمل هذه العمليات ما يلي:

• تنفيذ الأوامر عن بُعد عبر إنشاء والتحكم في واجهة سطر الأوامر (CMD shell).
• تفاعلات نظام الملفات، مثل تعداد الدليل، وإنشاء الملفات، وإضافة البيانات
• إدارة حالة الإشارة، التي تتحكم في الاتصال مع مركز القيادة والسيطرة

فيما يلي مجموعة الأوامر الكاملة التي يدعمها برنامج LOTUSLITE:

• 0x0A: بدء تشغيل موجه الأوامر عن بُعد
• 0x0B: إنهاء جلسة التحكم عن بعد
• 0x01: إرسال الأوامر عبر سطر الأوامر
• 0x06: إعادة ضبط حالة الإشارة
• 0x03: تعداد الملفات

• 0x0D: إنشاء ملف فارغ

• 0x0E: إلحاق البيانات بالملف

• 0x0F: استرجاع حالة الإشارة

يضمن برنامج LOTUSLITE أيضًا استمرارية البرنامج عن طريق تغيير إعدادات سجل ويندوز بحيث يتم تنفيذه تلقائيًا عند كل تسجيل دخول للمستخدم.

السمات السلوكية والتركيز التشغيلي

لاحظ محللو الأمن أن برنامج LOTUSLITE يُظهر سلوكيات مشابهة لأدوات سابقة استخدمتها مجموعة Mustang Panda، مثل Claimloader، لا سيما تضمينه رسائل استفزازية تدعم جهود الهندسة الاجتماعية. يُذكر أن Claimloader هو نفسه برنامج تحميل مكتبات DLL يُستخدم لنشر حمولات أخرى من Mustang Panda مثل PUBLOAD في حملات سابقة.

تُبرز هذه العملية اتجاهًا أوسع في عمليات التصيد الاحتيالي الموجه: فبدلًا من الاعتماد على ثغرات أمنية معقدة غير معروفة، غالبًا ما تتمكن مجموعات التهديد المتقدمة والمستمرة من الوصول إلى الأنظمة عبر طُعم ذي صلة اجتماعية، بالإضافة إلى أساليب تنفيذ مجربة جيدًا، مثل تحميل ملفات DLL الجانبية. ورغم أن برنامج LOTUSLITE يفتقر إلى ميزات التهرب المتقدمة، إلا أن قدراته المباشرة في التحكم والتوجيه، وتدفق تنفيذه الموثوق، تجعله أداة عملية للتجسس طويل الأمد.

تُظهر الحملة أن حتى الأساليب البسيطة والمألوفة يمكن أن تظل فعالة عند اقترانها بالاستهداف الذكي والطُعم ذات الصلة بالسياق، وخاصة ضد الشبكات المؤسسية ذات القيمة العالية.