LOTUSLITE galinės durys
Saugumo tyrėjai atskleidė sudėtingą kenkėjiškų programų kampaniją, nukreiptą prieš JAV vyriausybę ir politikos institucijas, naudojant aktualias politines temas aukoms privilioti. Kibernetinės atakos vykdytojai įterpė ZIP archyvą pavadinimu „JAV dabar sprendžia, kas toliau dėl Venezuelos.zip“ į tikslines sukčiavimo žinutes, skirtas pritraukti gavėjus, susirūpinusius dėl pastarųjų JAV ir Venesuelos įvykių. Atidarius šį archyvą, per DLL šoninį įkėlimą atsiranda galinės durys, žinomos kaip LOTUSLITE – metodas, kuris pasitelkia teisėtas programas kenkėjiškoms programoms paslėpti ir išvengti aptikimo. Kol kas neaišku, ar kuri nors iš numatytų aukų buvo sėkmingai pažeista.
Kampanija su vidutiniu pasitikėjimu buvo siejama su valstybe susijusia Kinijos kibernetinio šnipinėjimo grupuote „Mustang Panda“. Šis priskyrimas grindžiamas persidengiančiais taktiniais metodais ir infrastruktūros pėdsakais, anksčiau sietais su šia grupe, gerai žinoma dėl politiškai motyvuoto taikinio taikymo ir pirmenybės teikimo šalutiniam įkėlimui, o ne išnaudojimu pagrįstai pradinei prieigai.
Turinys
Pristatymo ir vykdymo mechanizmas
Kenkėjiškame ZIP faile yra masalo vykdomasis failas ir dinaminių nuorodų biblioteka, paleidžiama per DLL šoninį įkėlimą – patikimą vykdymo srautą, kurio metu gerybinis procesas netyčia įkelia kenkėjišką biblioteką. „Mustang Panda“ nuosekliai naudojo šią techniką ankstesnėse operacijose, įskaitant ir tokių slaptų programų kaip TONESHELL įkėlimą.
Paleidus įskiepį, įskiepytas DLL failas (pavadintas kugou.dll) veikia kaip specialiai sukurtas C++ galinis durų įrankis šnipinėjimo užduotims. „LOTUSLITE“ užmezga ryšį su savo užkoduotu „Command-and-Control“ (C2) serveriu, naudodamas „Windows WinHTTP“ API, kuri leidžia nuotoliniu būdu valdyti komandas ir išgauti duomenis.
Užpakalinių durų galimybės
„LOTUSLITE“ palaiko pagrindinių operacijų rinkinį, kuris palengvina nuotolinį valdymą ir žvalgybą. Tai apima:
- Nuotolinis komandų vykdymas per nerštą ir CMD apvalkalo valdymas
- Failų sistemos sąveika, pvz., katalogų išvardijimas, failų kūrimas ir duomenų pridėjimas
- Švyturių būsenos valdymas, kuris kontroliuoja ryšį su C2
Čia pateikiamas visas LOTUSLITE palaikomas komandų rinkinys:
- 0x0A: Inicijuoti nuotolinį CMD apvalkalą
- 0x0B: Nutraukti nuotolinį apvalkalą
- 0x01: Siųsti komandas per apvalkalą
- 0x06: Atstatyti švyturio būseną
- 0x03: Išvardinti failus
- 0x0D: Sukurti tuščią failą
- 0x0E: Pridėti duomenis prie failo
- 0x0F: Gauti švyturio būseną
„LOTUSLITE“ taip pat užtikrina duomenų tęstinumą, pakeisdama „Windows“ registro nustatymus taip, kad jis būtų vykdomas automatiškai kiekvieno vartotojo prisijungimo metu.
Elgesio bruožai ir veiklos dėmesys
Saugumo analitikai pastebėjo, kad „LOTUSLITE“ elgsena panaši į ankstesnes „Mustang Panda“ naudojamas priemones, tokias kaip „Claimloader“, ypač įterpiant provokuojančias pranešimų eilutes, kurios palaiko socialinės inžinerijos pastangas. „Claimloader“ pati yra DLL įkrovos programa, naudojama diegti kitas „Mustang Panda“ naudingas programas, tokias kaip „PUBLOAD“, ankstesnėse kampanijose.
Ši operacija pabrėžia platesnę tikslinio spear-phishing tendenciją: užuot pasikliovusios sudėtingais nulinės dienos atakų išnaudojimais, pažangios nuolatinių grėsmių grupės dažnai pasiekia duomenis naudodamos socialiai aktualias masalus kartu su gerai patikrintais vykdymo metodais, tokiais kaip DLL šoninis įkėlimas. Nors LOTUSLITE trūksta itin pažangių apėjimo funkcijų, jos paprastos vadovavimo ir valdymo galimybės bei patikimas vykdymo srautas daro ją praktišku ilgalaikio šnipinėjimo įrankiu.
Kampanija parodo, kad net ir paprasti, pažįstami metodai gali išlikti veiksmingi, kai derinami su sumaniu taikymu ir kontekstualiomis priemonėmis, ypač prieš didelės vertės institucinius tinklus.
