درِ پشتی LOTUSLITE

محققان امنیتی یک کمپین بدافزار پیچیده را کشف کرده‌اند که نهادهای دولتی و سیاسی ایالات متحده را هدف قرار داده و از مضامین سیاسی به‌روز برای فریب قربانیان استفاده می‌کند. عاملان تهدید، یک آرشیو ZIP با عنوان «ایالات متحده اکنون در حال تصمیم‌گیری برای ونزوئلا است.zip» را در پیام‌های فیشینگ هدفمند جاسازی کرده‌اند که برای جلب توجه گیرندگانی که نگران تحولات اخیر ایالات متحده و ونزوئلا هستند، طراحی شده است. در صورت باز شدن، این آرشیو از طریق بارگذاری جانبی DLL، یک در پشتی به نام LOTUSLITE را ارائه می‌دهد، روشی که از برنامه‌های قانونی برای پنهان کردن بارهای مخرب و فرار از شناسایی استفاده می‌کند. هنوز مشخص نیست که آیا هیچ یک از قربانیان مورد نظر با موفقیت به خطر افتاده‌اند یا خیر.

این کمپین با اطمینان متوسط به گروه جاسوسی سایبری چینی موستانگ پاندا که وابسته به دولت است، نسبت داده شده است. این نسبت‌دهی مبتنی بر رویکردهای تاکتیکی همپوشانی و ردپاهای زیرساختی است که قبلاً به این گروه مرتبط بوده‌اند، گروهی که به خاطر هدف‌گیری سیاسی و ترجیح بارگذاری جانبی به جای دسترسی اولیه مبتنی بر سوءاستفاده شناخته شده است.

مکانیسم تحویل و اجرا

فایل زیپ مخرب حاوی یک فایل اجرایی فریبنده و یک کتابخانه پیوند پویا است که از طریق بارگذاری جانبی DLL، یک جریان اجرای قابل اعتماد که در آن یک فرآیند بی‌خطر سهواً یک کتابخانه مخرب را بارگذاری می‌کند، راه‌اندازی می‌شود. Mustang Panda به طور مداوم از این تکنیک در عملیات‌های قبلی، از جمله قرار دادن درهای پشتی مانند TONESHELL، استفاده کرده است.

پس از اجرا، DLL جاسازی‌شده (با نام kugou.dll) به عنوان یک در پشتی سفارشی C++ که برای وظایف جاسوسی طراحی شده است، عمل می‌کند. LOTUSLITE با استفاده از API WinHTTP ویندوز، اتصال به سرور Command-and-Control (C2) خود را که به صورت hard-coded طراحی شده است، برقرار می‌کند و امکان اجرای دستورات از راه دور و استخراج داده‌ها را فراهم می‌کند.

قابلیت‌های در پشتی

LOTUSLITE از مجموعه‌ای از عملیات اصلی پشتیبانی می‌کند که کنترل از راه دور و شناسایی را تسهیل می‌کند. این عملیات‌ها عبارتند از:

• اجرای دستورات از راه دور از طریق ایجاد و کنترل یک پوسته CMD
• تعاملات سیستم فایل، مانند شمارش دایرکتوری، ایجاد فایل و افزودن داده
• مدیریت وضعیت Beacon، که ارتباط با C2 را کنترل می‌کند

در اینجا مجموعه کامل دستورات پشتیبانی شده توسط LOTUSLITE آمده است:

• 0x0A: شروع پوسته CMD از راه دور
• 0x0B: خاتمه دادن به پوسته از راه دور
• 0x01: ارسال دستورات از طریق پوسته
• 0x06: وضعیت چراغ راهنما را بازنشانی کنید
• 0x03: شمارش فایل‌ها

LOTUSLITE همچنین با تغییر تنظیمات رجیستری ویندوز، ماندگاری را تضمین می‌کند تا به طور خودکار در هر ورود کاربر اجرا شود.

ویژگی‌های رفتاری و تمرکز عملیاتی

تحلیلگران امنیتی مشاهده کردند که LOTUSLITE شباهت‌های رفتاری با ابزارهای قبلی مستقر شده توسط Mustang Panda، مانند Claimloader، نشان می‌دهد، به ویژه رشته‌های پیام‌رسانی تحریک‌آمیزی را جاسازی می‌کند که از تلاش‌های مهندسی اجتماعی پشتیبانی می‌کنند. Claimloader خود یک بارگذار DLL است که برای استقرار سایر بارهای داده Mustang Panda مانند PUBLOAD در کمپین‌های قبلی استفاده شده است.

این عملیات، روند گسترده‌تری را در فیشینگ هدفمند برجسته می‌کند: گروه‌های تهدید پیشرفته و مداوم، به جای تکیه بر سوءاستفاده‌های پیچیده روز صفر، اغلب از طریق فریب‌های مرتبط با جامعه و روش‌های اجرایی آزمایش‌شده مانند بارگذاری جانبی DLL، به اهداف خود دست می‌یابند. اگرچه LOTUSLITE فاقد ویژگی‌های فرار بسیار پیشرفته است، اما قابلیت‌های ساده‌ی فرماندهی و کنترل و جریان اجرای قابل اعتماد آن، آن را به ابزاری کاربردی برای جاسوسی طولانی‌مدت تبدیل می‌کند.

این کمپین نشان می‌دهد که حتی تکنیک‌های ساده و آشنا نیز می‌توانند در صورت ترکیب با هدف‌گیری هوشمند و طعمه‌های مرتبط با زمینه، به‌ویژه علیه شبکه‌های نهادی با ارزش بالا، مؤثر باقی بمانند.