Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό LOTUSLITE Κερκόπορτα

LOTUSLITE Κερκόπορτα

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT), Backdoors
Μετάφραση σε:

Ερευνητές ασφαλείας αποκάλυψαν μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού που απευθύνεται στην κυβέρνηση και σε πολιτικά ιδρύματα των ΗΠΑ, χρησιμοποιώντας επίκαιρα πολιτικά θέματα για να προσελκύσουν τα θύματα. Οι απειλητικοί παράγοντες ενσωμάτωσαν ένα αρχείο ZIP με τίτλο «Οι ΗΠΑ τώρα αποφασίζουν τι θα ακολουθήσει για τη Βενεζουέλα.zip» σε μηνύματα spear-phishing που έχουν σχεδιαστεί για να προσελκύσουν παραλήπτες που ενδιαφέρονται για τις πρόσφατες εξελίξεις στις ΗΠΑ-Βενεζουέλα. Εάν ανοιχτεί, αυτό το αρχείο παρέχει μια κερκόπορτα γνωστή ως LOTUSLITE μέσω πλευρικής φόρτωσης DLL, μιας μεθόδου που αξιοποιεί νόμιμες εφαρμογές για να αποκρύψει κακόβουλα φορτία και να αποφύγει τον εντοπισμό. Παραμένει ασαφές εάν κάποιο από τα επιδιωκόμενα θύματα παραβιάστηκε με επιτυχία.

Η εκστρατεία έχει αποδοθεί με μέτρια εμπιστοσύνη στην κρατική κινεζική ομάδα κυβερνοκατασκοπείας Mustang Panda. Αυτή η απόδοση βασίζεται σε επικαλυπτόμενες τακτικές προσεγγίσεις και αποτυπώματα υποδομών που προηγουμένως συνδέονταν με αυτήν την ομάδα, γνωστή για την πολιτικά υποκινούμενη στόχευση και για την προτίμηση της παράπλευρης φόρτωσης έναντι της αρχικής πρόσβασης που βασίζεται σε exploits.

Μηχανισμός Παράδοσης και Εκτέλεσης

Το κακόβουλο αρχείο ZIP περιέχει ένα εκτελέσιμο αρχείο decoy και μια βιβλιοθήκη δυναμικής σύνδεσης που ξεκινά μέσω πλευρικής φόρτωσης DLL, μιας αξιόπιστης ροής εκτέλεσης στην οποία μια καλοήθης διεργασία φορτώνει ακούσια μια κακόβουλη βιβλιοθήκη. Το Mustang Panda έχει χρησιμοποιήσει σταθερά αυτήν την τεχνική σε προηγούμενες λειτουργίες, συμπεριλαμβανομένης της προώθησης backdoors όπως το TONESHELL.

Μόλις εκτελεστεί, το εμφυτευμένο DLL (με όνομα kugou.dll) λειτουργεί ως ένα προσαρμοσμένο backdoor C++ που έχει σχεδιαστεί για εργασίες κατασκοπείας. Το LOTUSLITE δημιουργεί σύνδεση με τον ενσωματωμένο διακομιστή Command-and-Control (C2) αξιοποιώντας το API WinHTTP των Windows, επιτρέποντας απομακρυσμένες εντολές και εξαγωγή δεδομένων.

Δυνατότητες Backdoor

Το LOTUSLITE υποστηρίζει ένα σύνολο βασικών λειτουργιών που διευκολύνουν τον τηλεχειρισμό και την αναγνώριση. Αυτές περιλαμβάνουν:

  • Απομακρυσμένη εκτέλεση εντολών μέσω δημιουργίας και ελέγχου ενός κελύφους CMD
  • Αλληλεπιδράσεις συστήματος αρχείων, όπως απαρίθμηση καταλόγων, δημιουργία αρχείων και προσάρτηση δεδομένων
  • Διαχείριση κατάστασης beacon, η οποία ελέγχει την επικοινωνία με το C2

Εδώ είναι το πλήρες σύνολο εντολών που υποστηρίζεται από το LOTUSLITE:

  • 0x0A: Έναρξη απομακρυσμένου κελύφους CMD
  • 0x0B: Τερματισμός απομακρυσμένου κελύφους
  • 0x01: Αποστολή εντολών μέσω του κελύφους
  • 0x06: Επαναφορά κατάστασης beacon
  • 0x03: Απαρίθμηση αρχείων
  • 0x0D: Δημιουργία κενού αρχείου
  • 0x0E: Προσθήκη δεδομένων στο αρχείο
  • 0x0F: Ανάκτηση κατάστασης beacon

Το LOTUSLITE διασφαλίζει επίσης τη διατήρηση της αξιοπιστίας αλλάζοντας τις ρυθμίσεις του Μητρώου των Windows, έτσι ώστε να εκτελείται αυτόματα σε κάθε σύνδεση χρήστη.

Συμπεριφορικά Χαρακτηριστικά και Επιχειρησιακή Εστίαση

Αναλυτές ασφαλείας παρατήρησαν ότι το LOTUSLITE παρουσιάζει ομοιότητες συμπεριφοράς με προηγούμενα εργαλεία που αναπτύχθηκαν από το Mustang Panda, όπως το Claimloader, κυρίως ενσωματώνοντας προκλητικές συμβολοσειρές μηνυμάτων που υποστηρίζουν προσπάθειες κοινωνικής μηχανικής. Το Claimloader είναι το ίδιο ένα πρόγραμμα φόρτωσης DLL που χρησιμοποιείται για την ανάπτυξη άλλων φορτίων Mustang Panda όπως το PUBLOAD σε προηγούμενες καμπάνιες.

Αυτή η επιχείρηση υπογραμμίζει μια ευρύτερη τάση στο στοχευμένο spear-phishing: αντί να βασίζονται σε πολύπλοκα exploits zero-day, οι προηγμένες ομάδες επίμονων απειλών συχνά επιτυγχάνουν πρόσβαση μέσω κοινωνικά σχετικών δολωμάτων σε συνδυασμό με καλά δοκιμασμένες μεθόδους εκτέλεσης, όπως η πλευρική φόρτωση DLL. Παρόλο που το LOTUSLITE δεν διαθέτει εξαιρετικά προηγμένα χαρακτηριστικά αποφυγής, οι απλές δυνατότητες Command-and-Control και η αξιόπιστη ροή εκτέλεσης το καθιστούν ένα πρακτικό εργαλείο για μακροπρόθεσμη κατασκοπεία.

Η καμπάνια καταδεικνύει ότι ακόμη και απλές, οικείες τεχνικές μπορούν να παραμείνουν αποτελεσματικές όταν συνδυάζονται με έξυπνη στόχευση και σχετικά με τα συμφραζόμενα δολώματα, ειδικά ενάντια σε θεσμικά δίκτυα υψηλής αξίας.

Τάσεις

Απάτη μέσω email επιβεβαίωσης κράτησης στην Booking.com

Κακόβουλο λογισμικό, Ανεπιθύμητη αλληλογραφία
Η επαγρύπνηση κατά την αντιμετώπιση απροσδόκητων email είναι ζωτικής σημασίας. Οι κυβερνοεγκληματίες συχνά μεταμφιέζουν κακόβουλες καμπάνιες ως συνηθισμένες επιχειρηματικές επικοινωνίες για να...

LOTUSLITE Κερκόπορτα

Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT), Backdoors
Ερευνητές ασφαλείας αποκάλυψαν μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού που απευθύνεται στην κυβέρνηση και σε πολιτικά ιδρύματα των ΗΠΑ, χρησιμοποιώντας επίκαιρα πολιτικά θέματα για να...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
28,817
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...