Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Porta del darrere LOTUSLITE

Porta del darrere LOTUSLITE

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Portes del darrere
Traduir a:

Investigadors de seguretat han descobert una sofisticada campanya de programari maliciós dirigida al govern i a les institucions polítiques dels EUA, utilitzant temes polítics oportuns per atraure les víctimes. Els actors amenaçadors van incrustar un arxiu ZIP titulat "US now decideix què és el següent per a Veneçuela.zip" en missatges de spear phishing dissenyats per atraure els destinataris preocupats pels esdeveniments recents entre els EUA i Veneçuela. Si s'obre, aquest arxiu proporciona una porta del darrere coneguda com a LOTUSLITE mitjançant la càrrega lateral de DLL, un mètode que aprofita aplicacions legítimes per ocultar càrregues útils malicioses i evadir la detecció. No queda clar si alguna de les víctimes previstes va ser compromesa amb èxit.

La campanya s'ha atribuït amb una confiança moderada al grup de ciberespionatge xinès Mustang Panda, vinculat a l'estat. Aquesta atribució es basa en la superposició d'enfocaments tàctics i petjades d'infraestructura anteriorment vinculades a aquest grup, conegut per la seva focalització política i per afavorir la càrrega lateral en lloc de l'accés inicial basat en exploits.

Mecanisme de lliurament i execució

El ZIP maliciós conté un executable esquer i una biblioteca d'enllaços dinàmics que s'inicia mitjançant la càrrega lateral de DLL, un flux d'execució fiable en què un procés benigne carrega accidentalment una biblioteca maliciosa. Mustang Panda ha utilitzat aquesta tècnica de manera consistent en operacions anteriors, incloent-hi l'obertura de portes del darrere com ara TONESHELL.

Un cop executada, la DLL implantada (anomenada kugou.dll) actua com una porta del darrere C++ personalitzada dissenyada per a tasques d'espionatge. LOTUSLITE estableix una connexió amb el seu servidor de comandament i control (C2) codificat mitjançant l'aprofitament de l'API WinHTTP de Windows, permetent comandes remotes i extracció de dades.

Capacitats de porta del darrere

LOTUSLITE admet un conjunt d'operacions bàsiques que faciliten el control remot i el reconeixement. Aquestes inclouen:

  • Execució remota d'ordres mitjançant la generació i el control d'un shell CMD
  • Interaccions del sistema de fitxers, com ara l'enumeració de directoris, la creació de fitxers i l'afegiment de dades
  • Gestió de l'estat de la balisa, que controla la comunicació amb C2

Aquí teniu el conjunt complet d'ordres compatibles amb LOTUSLITE:

  • 0x0A: Inicia l'intèrpret d'ordres CMD remot
  • 0x0B: Finalitza l'intèrpret d'ordres remot
  • 0x01: Envia ordres a través de l'intèrpret d'ordres
  • 0x06: Restableix l'estat de la balisa
  • 0x03: Enumerar fitxers
  • 0x0D: Crea un fitxer buit
  • 0x0E: Afegeix dades al fitxer
  • 0x0F: Recupera l'estat de la balisa

LOTUSLITE també garanteix la persistència modificant la configuració del Registre de Windows perquè s'executi automàticament cada vegada que l'usuari inicia sessió.

Trets conductuals i enfocament operatiu

Els analistes de seguretat van observar que LOTUSLITE presenta similituds de comportament amb eines anteriors implementades per Mustang Panda, com ara Claimloader, en particular integrant cadenes de missatges provocadores que donen suport als esforços d'enginyeria social. Claimloader és en si mateix un carregador de DLL que s'utilitza per implementar altres càrregues útils de Mustang Panda com PUBLOAD en campanyes anteriors.

Aquesta operació subratlla una tendència més àmplia en el spear-phishing dirigit: en lloc de confiar en exploits complexos de dia zero, els grups d'amenaces persistents avançats sovint aconsegueixen accés a través d'esquers socialment rellevants combinats amb mètodes d'execució ben provats com la càrrega lateral de DLL. Tot i que LOTUSLITE no té funcions d'evasió molt avançades, les seves capacitats de comandament i control senzilles i el flux d'execució fiable el converteixen en una eina pràctica per a l'espionatge a llarg termini.

La campanya demostra que fins i tot les tècniques senzilles i familiars poden seguir sent efectives quan es combinen amb una segmentació intel·ligent i esquers contextualment rellevants, especialment contra xarxes institucionals d'alt valor.

Tendència

Més vist

Carregant...