Zadní vrátka LOTUSLITE

Bezpečnostní výzkumníci odhalili sofistikovanou malwarovou kampaň zaměřenou na americkou vládu a politické instituce, která k nalákání obětí využívala aktuální politická témata. Útočníci vložili ZIP archiv s názvem „USA nyní rozhodují, co bude dál pro Venezuelu.zip“ do phishingových zpráv, jejichž cílem bylo oslovit příjemce znepokojené nedávným vývojem mezi USA a Venezuelou. Po otevření tento archiv prostřednictvím sideloadingu DLL, což je metoda, která využívá legitimní aplikace k zakrytí škodlivého obsahu a vyhnutí se odhalení, backdoor známý jako LOTUSLITE. Zatím není jasné, zda se některá z zamýšlených obětí úspěšně nakazila.

Kampaň byla s mírnou jistotou připisována státem napojené čínské kybernetické špionážní skupině Mustang Panda. Toto připisování je založeno na překrývajících se taktických přístupech a infrastrukturních stopách, které byly dříve spojovány s touto skupinou, známou pro politicky motivované cílení a upřednostňování sideloadingu před počátečním přístupem založeným na zneužití.

Mechanismus doručení a provedení

Škodlivý ZIP soubor obsahuje návnadový spustitelný soubor a dynamicky linkovanou knihovnu, která se spouští pomocí bočního načítání DLL, což je spolehlivý spouštěcí tok, při kterém neškodný proces neúmyslně načte škodlivou knihovnu. Mustang Panda tuto techniku soustavně používal v předchozích operacích, včetně odstraňování zadních vrátek, jako je TONESHELL.

Po spuštění se implantovaná knihovna DLL (s názvem kugou.dll) chová jako vlastní zadní vrátka v jazyce C++ navržená pro špionážní úkoly. LOTUSLITE navazuje spojení se svým pevně kódovaným serverem Command-and-Control (C2) pomocí rozhraní Windows WinHTTP API, což umožňuje vzdálené příkazy a extrakci dat.

Možnosti zadních vrátek

LOTUSLITE podporuje sadu základních operací, které usnadňují dálkové ovládání a průzkum. Patří mezi ně:

• Vzdálené spuštění příkazů prostřednictvím spuštění a ovládání CMD shellu
• Interakce souborového systému, jako je výčet adresářů, vytváření souborů a přidávání dat
• Správa stavu majáků, která řídí komunikaci s C2

Zde je kompletní sada příkazů podporovaná programem LOTUSLITE:

• 0x0A: Spustit vzdálený shell CMD
• 0x0B: Ukončení vzdáleného shellu
• 0x01: Odesílání příkazů přes shell
• 0x06: Reset stavu majáku
• 0x03: Výčet souborů

• 0x0D: Vytvořit prázdný soubor

• 0x0E: Přidat data do souboru

• 0x0F: Načíst stav majáku

LOTUSLITE také zajišťuje trvalost změnou nastavení registru Windows tak, aby se automaticky spouštěl při každém přihlášení uživatele.

Behaviorální rysy a operační zaměření

Bezpečnostní analytici poznamenali, že LOTUSLITE vykazuje behaviorální podobnosti s předchozími nástroji nasazenými Mustang Pandou, jako je Claimloader, zejména vkládáním provokativních textových řetězců, které podporují snahy o sociální inženýrství. Claimloader je sám o sobě DLL loader používaný k nasazení dalších datových částí Mustang Pandy, jako je PUBLOAD, v dřívějších kampaních.

Tato operace podtrhuje širší trend cíleného spear-phishingu: spíše než spoléhání se na komplexní zero-day exploity, pokročilé perzistentní hrozby často získávají přístup prostřednictvím společensky relevantních návnad v kombinaci s osvědčenými metodami provádění, jako je například side-loading DLL. Ačkoli LOTUSLITE postrádá vysoce pokročilé funkce pro únik, jeho přímočaré funkce Command-and-Control a spolehlivý postup provádění z něj činí praktický nástroj pro dlouhodobou špionáž.

Kampaň ukazuje, že i jednoduché a známé techniky mohou zůstat účinné, pokud jsou spojeny s inteligentním cílením a kontextově relevantními lákadly, zejména proti institucionálním sítím s vysokou hodnotou.