LOTUSLITE hátsó ajtó

Biztonsági kutatók lelepleztek egy kifinomult kártevő kampányt, amely az amerikai kormányt és politikai intézményeket célozta meg, időszerű politikai témákat felhasználva az áldozatok csábítására. A támadók egy „Az USA most eldönti, mi a következő lépés Venezuela számára.zip” című ZIP archívumot ágyaztak be adathalász üzenetekbe, amelyek célja az volt, hogy megszólítsák azokat a címzetteket, akik aggódnak az USA és Venezuela közötti legutóbbi fejlemények miatt. Ha felnyitják ezt az archívumot, az egy LOTUSLITE néven ismert hátsó ajtót nyit meg DLL oldaltöltésen keresztül, amely módszer legitim alkalmazásokat használ fel a rosszindulatú hasznos fájlok elrejtésére és az észlelés elkerülésére. Továbbra sem világos, hogy a kiszemelt áldozatok közül bármelyiket sikeresen feltörték-e.

A kampányt mérsékelt bizalommal az államilag kötött kínai kiberkémkedési csoportnak, a Mustang Pandának tulajdonítják. Ez a hozzárendelés az átfedő taktikai megközelítéseken és az infrastrukturális lábnyomokon alapul, amelyek korábban ehhez a csoporthoz kapcsolódtak, és amely jól ismert a politikailag vezérelt célzásról és arról, hogy az oldalirányú behatolást részesíti előnyben az exploit-alapú kezdeti hozzáféréssel szemben.

Szállítási és végrehajtási mechanizmus

A rosszindulatú ZIP fájl egy csali futtatható fájlt és egy dinamikus csatolású függvénytárat tartalmaz, amely DLL oldaltöltéssel indul. Ez egy megbízható végrehajtási folyamat, amelyben egy jóindulatú folyamat véletlenül betölt egy rosszindulatú függvénytárat. A Mustang Panda következetesen alkalmazta ezt a technikát korábbi műveleteiben, beleértve a hátsó ajtók, például a TONESHELL behatolását is.

A végrehajtás után a beültetett DLL (kugou.dll néven) egyedi C++ hátsó ajtóként működik, amelyet kémkedési feladatokhoz terveztek. A LOTUSLITE a Windows WinHTTP API kihasználásával létesít kapcsolatot a fixen kódolt Command-and-Control (C2) szerverével, lehetővé téve a távoli parancsok és az adatkinyerés használatát.

Hátsó ajtó képességei

A LOTUSLITE számos olyan alapvető műveletet támogat, amelyek megkönnyítik a távirányítást és a felderítést. Ezek a következők:

• Távoli parancsvégrehajtás spawnoláson és CMD shell vezérlésén keresztül
• Fájlrendszer-interakciók, például könyvtárak felsorolása, fájlok létrehozása és adatok hozzáfűzése
• Jelzőfény állapotkezelés, amely a C2-vel való kommunikációt vezérli

Íme a LOTUSLITE által támogatott teljes parancskészlet:

• 0x0A: Távoli CMD shell indítása
• 0x0B: Távoli shell leállítása
• 0x01: Parancsok küldése shell-en keresztül
• 0x06: Jelzőfény állapotának visszaállítása
• 0x03: Fájlok felsorolása

• 0x0D: Üres fájl létrehozása

• 0x0E: Adatok hozzáfűzése a fájlhoz

• 0x0F: Jelzőkészülék állapotának lekérése

A LOTUSLITE a Windows rendszerleíró adatbázis beállításainak módosításával is biztosítja az adatok megőrzését, így minden felhasználói bejelentkezéskor automatikusan végrehajtódik.

Viselkedési jellemzők és működési fókusz

Biztonsági elemzők megfigyelése szerint a LOTUSLITE viselkedési hasonlóságokat mutat a Mustang Panda által korábban telepített eszközökkel, például a Claimloaderrel, nevezetesen provokatív üzenetkarakterláncok beágyazásával, amelyek támogatják a társadalmi manipulációra irányuló erőfeszítéseket. A Claimloader maga is egy DLL-betöltő, amelyet más Mustang Panda hasznos adatok, például a PUBLOAD korábbi kampányokban történő telepítéséhez használtak.

Ez a művelet rávilágít a célzott adathalászat szélesebb körű trendjére: ahelyett, hogy összetett, nulladik napi támadásokra hagyatkoznának, a fejlett, állandó fenyegetést jelentő csoportok gyakran társadalmilag releváns csalikkal és jól bevált végrehajtási módszerekkel, például DLL oldalra töltéssel érik el a hozzáférést. Bár a LOTUSLITE nem rendelkezik fejlett kitérési funkciókkal, az egyszerű parancs- és vezérlési képességei és a megbízható végrehajtási folyamata praktikus eszközzé teszi a hosszú távú kémkedéshez.

A kampány azt bizonyítja, hogy még az egyszerű, ismerős technikák is hatékonyak maradhatnak, ha intelligens célzással és kontextusnak megfelelő csalikkal párosítjuk őket, különösen a nagy értékű intézményi hálózatokkal szemben.