LOTUSLITE tagauks

Turvauurijad on paljastanud keeruka pahavarakampaania, mis oli suunatud USA valitsusele ja poliitilistele institutsioonidele ning mis kasutab ohvrite meelitamiseks ajakohaseid poliitilisi teemasid. Ohvrid manustasid õngitsussõnumitesse ZIP-arhiivi pealkirjaga „USA otsustab nüüd, mis saab Venezuela.zipiga edasi“. See arhiiv avatakse DLL-i külglaadimise kaudu tagaukse kaudu, mis on meetod, mis kasutab seaduslikke rakendusi pahatahtlike koormuste varjamiseks ja avastamise vältimiseks. Jääb selgusetuks, kas mõni kavandatud ohvritest õnnestus ohtu seada.

Kampaaniat on mõõduka kindlusega omistatud riigiga seotud Hiina küberspionaažirühmitusele Mustang Panda. See omistamine põhineb kattuvatel taktikalistel lähenemisviisidel ja infrastruktuuri jalajälgedel, mis on varem olnud seotud selle rühmitusega, mis on tuntud poliitiliselt ajendatud sihtimise ja külglaadimise eelistamise poolest ärakasutamise põhisele esialgsele juurdepääsule.

Kohaletoimetamise ja täitmise mehhanism

Pahatahtlik ZIP-fail sisaldab peibutusfaili ja dünaamiliselt linkivat teeki, mis käivitatakse DLL-i külglaadimise kaudu – see on usaldusväärne täitmisvoog, mille käigus healoomuline protsess laadib kogemata pahatahtliku teeki. Mustang Panda on seda tehnikat varasemates operatsioonides järjepidevalt kasutanud, sealhulgas tagauste, näiteks TONESHELL-i, levitamisel.

Pärast käivitamist toimib implanteeritud DLL (nimega kugou.dll) spionaažiülesannete jaoks loodud kohandatud C++ tagauksena. LOTUSLITE loob ühenduse oma kõvakodeeritud Command-and-Control (C2) serveriga, kasutades Windows WinHTTP API-t, mis võimaldab kaugkäsklusi ja andmete ekstraheerimist.

Tagaukse võimalused

LOTUSLITE toetab põhitoimingute komplekti, mis hõlbustab kaugjuhtimist ja luuret. Nende hulka kuuluvad:

• Kaugkäskluste täitmine kudemise ja CMD-kesta juhtimise kaudu
• Failisüsteemi interaktsioonid, näiteks kataloogide loendamine, failide loomine ja andmete lisamine
• Majaka oleku haldus, mis kontrollib suhtlust C2-ga

Siin on LOTUSLITE'i toetatud täielik käskude komplekt:

• 0x0A: Käivitage kaugjuhtimispuldi CMD-kest
• 0x0B: Lõpeta kaugtöölaua kasutamine
• 0x01: Saada käske shelli kaudu
• 0x06: Majaka oleku lähtestamine
• 0x03: Failide loend

• 0x0D: Loo tühi fail

• 0x0E: Lisa andmed faili

• 0x0F: Majaka oleku hankimine

LOTUSLITE tagab püsivuse ka Windowsi registri seadete muutmisega nii, et see käivitub automaatselt iga kasutaja sisselogimisel.

Käitumisomadused ja tegevusalane fookus

Turvaanalüütikud täheldasid, et LOTUSLITE'il on käitumises sarnasusi Mustang Panda varasemate tööriistadega, näiteks Claimloaderiga, eelkõige provokatiivsete sõnumistringide manustamisega, mis toetavad sotsiaalse manipuleerimise püüdlusi. Claimloader ise on DLL-laadur, mida kasutati teiste Mustang Panda kasulike koormuste, näiteks PUBLOADi, juurutamiseks varasemates kampaaniates.

See operatsioon rõhutab laiemat suundumust sihipärases odavõngimises: keerukate nullpäeva rünnakute asemel saavutavad edasijõudnud püsivad ohugrupid juurdepääsu sageli sotsiaalselt oluliste peibutiste ja hästi testitud täitmismeetodite, näiteks DLL-i külglaadimise kaudu. Kuigi LOTUSLITE-il puuduvad ülitäpsed kõrvalehoidumisfunktsioonid, muudavad selle lihtsad juhtimis- ja juhtimisvõimalused ning usaldusväärne täitmisvoog selle praktiliseks tööriistaks pikaajaliseks spionaažiks.

Kampaania näitab, et isegi lihtsad ja tuttavad võtted võivad olla tõhusad, kui need on ühendatud intelligentse sihtimise ja kontekstipõhiste meelitamistega, eriti väärtuslike institutsionaalsete võrgustike puhul.