ទ្វារក្រោយ LOTUSLITE

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញយុទ្ធនាការមេរោគដ៏ស្មុគស្មាញមួយ ដែលមានគោលបំណងវាយប្រហាររដ្ឋាភិបាល និងស្ថាប័នគោលនយោបាយសហរដ្ឋអាមេរិក ដោយប្រើប្រាស់ប្រធានបទនយោបាយទាន់ពេលវេលា ដើម្បីទាក់ទាញជនរងគ្រោះ។ ជនល្មើសគំរាមកំហែងបានបង្កប់បណ្ណសារ ZIP ដែលមានចំណងជើងថា 'US now deciding what's next for Venezuela.zip' ទៅក្នុងសារបន្លំដែលត្រូវបានរចនាឡើងដើម្បីទាក់ទាញអ្នកទទួលដែលមានការព្រួយបារម្ភអំពីការវិវត្តថ្មីៗរវាងសហរដ្ឋអាមេរិក និងវេណេស៊ុយអេឡា។ ប្រសិនបើបើក បណ្ណសារនេះផ្តល់នូវច្រកខាងក្រោយដែលគេស្គាល់ថា LOTUSLITE តាមរយៈការផ្ទុក DLL ចំហៀង ដែលជាវិធីសាស្ត្រមួយដែលទាញយកអត្ថប្រយោជន៍ពីកម្មវិធីស្របច្បាប់ដើម្បីលាក់បាំងបន្ទុកដែលមានគំនិតអាក្រក់ និងគេចពីការរកឃើញ។ វានៅតែមិនច្បាស់ថាតើជនរងគ្រោះដែលមានបំណងណាមួយត្រូវបានលួចចូលដោយជោគជ័យឬអត់។

យុទ្ធនាការនេះត្រូវបានគេសន្មត់ដោយមានទំនុកចិត្តកម្រិតមធ្យមទៅលើក្រុមចារកម្មតាមអ៊ីនធឺណិតរបស់ចិន Mustang Panda ដែលមានទំនាក់ទំនងជាមួយរដ្ឋ។ ការសន្មត់នេះគឺផ្អែកលើវិធីសាស្រ្តយុទ្ធសាស្ត្រដែលត្រួតស៊ីគ្នា និងស្នាមជើងហេដ្ឋារចនាសម្ព័ន្ធដែលពីមុនភ្ជាប់ទៅនឹងក្រុមនេះ ដែលត្រូវបានគេស្គាល់យ៉ាងច្បាស់សម្រាប់ការកំណត់គោលដៅដែលជំរុញដោយនយោបាយ និងសម្រាប់ការពេញចិត្តចំពោះការផ្ទុកចំហៀងជាជាងការចូលប្រើដំបូងដោយផ្អែកលើការកេងប្រវ័ញ្ច។

យន្តការចែកចាយ និងអនុវត្ត

ឯកសារ ZIP ព្យាបាទមានផ្ទុកឯកសារដែលអាចប្រតិបត្តិបានក្លែងក្លាយ និងបណ្ណាល័យតំណភ្ជាប់ថាមវន្ត ដែលត្រូវបានបើកដំណើរការតាមរយៈការផ្ទុក DLL ចំហៀង ដែលជាលំហូរប្រតិបត្តិដែលអាចទុកចិត្តបាន ដែលដំណើរការមិនល្អផ្ទុកបណ្ណាល័យព្យាបាទដោយអចេតនា។ Mustang Panda បានប្រើបច្ចេកទេសនេះជាប់លាប់នៅក្នុងប្រតិបត្តិការមុនៗ រួមទាំងការរុញទ្វារក្រោយដូចជា TONESHELL។

នៅពេលដែលត្រូវបានប្រតិបត្តិ DLL ដែលបានបង្កប់ (ដែលមានឈ្មោះថា kugou.dll) ដើរតួជា backdoor C++ ផ្ទាល់ខ្លួនដែលត្រូវបានរចនាឡើងសម្រាប់កិច្ចការចារកម្ម។ LOTUSLITE បង្កើតការតភ្ជាប់ទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2) ដែលបានអ៊ិនកូដរឹងរបស់វាដោយទាញយកអត្ថប្រយោជន៍ពី Windows WinHTTP API ដែលអាចឱ្យមានការបញ្ជាពីចម្ងាយ និងការទាញយកទិន្នន័យ។

សមត្ថភាព Backdoor

LOTUSLITE គាំទ្រសំណុំនៃប្រតិបត្តិការស្នូលដែលជួយសម្រួលដល់ការបញ្ជាពីចម្ងាយ និងការឈ្លបយកការណ៍។ ទាំងនេះរួមមាន៖

• ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយតាមរយៈការបង្កើត និងការគ្រប់គ្រងសែល CMD
• អន្តរកម្មប្រព័ន្ធឯកសារ ដូចជាការរាប់បញ្ជី ការបង្កើតឯកសារ និងការបន្ថែមទិន្នន័យ
• ការគ្រប់គ្រងស្ថានភាព Beacon ដែលគ្រប់គ្រងការទំនាក់ទំនងជាមួយ C2

នេះគឺជាសំណុំពាក្យបញ្ជាពេញលេញដែលគាំទ្រដោយ LOTUSLITE៖

• 0x0A: ចាប់ផ្តើមសែល CMD ពីចម្ងាយ
• 0x0B: បញ្ចប់សែលពីចម្ងាយ
• ០x០១: ផ្ញើពាក្យបញ្ជាតាមរយៈសែល
• ០x០៦: កំណត់ស្ថានភាព beacon ឡើងវិញ
• ០x០៣: រាប់ឯកសារ

LOTUSLITE ក៏ធានានូវភាពស្ថិតស្ថេរដោយការផ្លាស់ប្តូរការកំណត់ Windows Registry ដើម្បីឱ្យវាដំណើរការដោយស្វ័យប្រវត្តិនៅពេលចូលរបស់អ្នកប្រើប្រាស់ម្នាក់ៗ។

លក្ខណៈអាកប្បកិរិយា និងការផ្តោតអារម្មណ៍ប្រតិបត្តិការ

អ្នកវិភាគសន្តិសុខបានសង្កេតឃើញថា LOTUSLITE បង្ហាញពីភាពស្រដៀងគ្នានៃអាកប្បកិរិយាទៅនឹងឧបករណ៍មុនៗដែលដាក់ពង្រាយដោយ Mustang Panda ដូចជា Claimloader ជាពិសេសបង្កប់ខ្សែអក្សរសារញុះញង់ដែលគាំទ្រដល់កិច្ចខិតខំប្រឹងប្រែងវិស្វកម្មសង្គម។ Claimloader ខ្លួនវាគឺជា DLL loader ដែលត្រូវបានប្រើដើម្បីដាក់ពង្រាយ payloads Mustang Panda ផ្សេងទៀតដូចជា PUBLOAD នៅក្នុងយុទ្ធនាការមុនៗ។

ប្រតិបត្តិការនេះគូសបញ្ជាក់ពីនិន្នាការកាន់តែទូលំទូលាយនៅក្នុងការបន្លំគោលដៅ៖ ជំនួសឱ្យការពឹងផ្អែកលើការកេងប្រវ័ញ្ច zero-day ដ៏ស្មុគស្មាញ ក្រុមគំរាមកំហែងដែលមានកម្រិតខ្ពស់ជារឿយៗសម្រេចបាននូវការចូលប្រើតាមរយៈការល្បួងដែលពាក់ព័ន្ធនឹងសង្គមរួមផ្សំជាមួយនឹងវិធីសាស្ត្រប្រតិបត្តិដែលបានសាកល្បងយ៉ាងល្អដូចជាការផ្ទុក DLL ចំហៀង។ ទោះបីជា LOTUSLITE ខ្វះមុខងារគេចវេសកម្រិតខ្ពស់ក៏ដោយ សមត្ថភាពបញ្ជា និងត្រួតពិនិត្យដ៏សាមញ្ញរបស់វា និងលំហូរប្រតិបត្តិដែលអាចទុកចិត្តបានធ្វើឱ្យវាក្លាយជាឧបករណ៍ជាក់ស្តែងសម្រាប់ចារកម្មរយៈពេលវែង។

យុទ្ធនាការនេះបង្ហាញថា សូម្បីតែបច្ចេកទេសសាមញ្ញៗ និងស៊ាំៗក៏អាចនៅតែមានប្រសិទ្ធភាពផងដែរ នៅពេលដែលផ្គូផ្គងជាមួយនឹងការកំណត់គោលដៅឆ្លាតវៃ និងការល្បួងដែលពាក់ព័ន្ធនឹងបរិបទ ជាពិសេសប្រឆាំងនឹងបណ្តាញស្ថាប័នដែលមានតម្លៃខ្ពស់។