Pintu Belakang LOTOSLITE
Penyelidik keselamatan telah menemui kempen perisian hasad yang canggih yang disasarkan kepada kerajaan dan institusi dasar AS, menggunakan tema politik yang tepat pada masanya untuk menarik mangsa. Pelaku ancaman tersebut telah memasukkan arkib ZIP bertajuk 'AS kini memutuskan apa yang seterusnya untuk Venezuela.zip' ke dalam mesej spear-phishing yang direka untuk menarik penerima yang prihatin dengan perkembangan AS-Venezuela baru-baru ini. Jika dibuka, arkib ini akan menghantar pintu belakang yang dikenali sebagai LOTUSLITE melalui pemuatan sisi DLL, satu kaedah yang memanfaatkan aplikasi yang sah untuk menyembunyikan muatan berniat jahat dan mengelak pengesanan. Masih belum jelas sama ada mana-mana mangsa yang dimaksudkan telah berjaya dikompromikan.
Kempen ini telah dikaitkan dengan keyakinan sederhana kepada kumpulan pengintipan siber Cina yang berkaitan dengan negara, Mustang Panda. Atribusi ini berdasarkan pendekatan taktikal yang bertindih dan jejak infrastruktur yang sebelum ini dikaitkan dengan kumpulan ini, yang terkenal dengan penyasaran yang didorong oleh politik dan kerana mengutamakan pemuatan sampingan berbanding akses awal berasaskan eksploitasi.
Isi kandungan
Mekanisme Penyampaian dan Pelaksanaan
ZIP berniat jahat mengandungi fail boleh laku decoy dan pustaka pautan dinamik yang dilancarkan melalui pemuatan sisi DLL, aliran pelaksanaan yang andal di mana proses yang tidak berbahaya secara tidak sengaja memuatkan pustaka berniat jahat. Mustang Panda secara konsisten telah menggunakan teknik ini dalam operasi terdahulu, termasuk menolak pintu belakang seperti TONESHELL.
Setelah dilaksanakan, DLL yang diimplan (dinamakan kugou.dll) bertindak sebagai pintu belakang C++ tersuai yang direka bentuk untuk tugas pengintipan. LOTUSLITE mewujudkan sambungan ke pelayan Perintah-dan-Kawalan (C2) berkod kerasnya dengan memanfaatkan API Windows WinHTTP, membolehkan arahan jauh dan pengekstrakan data.
Keupayaan Pintu Belakang
LOTUSLITE menyokong satu set operasi teras yang memudahkan kawalan jauh dan peninjauan. Ini termasuk:
- Pelaksanaan arahan jauh melalui pemijahan dan kawalan shell CMD
- Interaksi sistem fail, seperti penghitungan direktori, penciptaan fail dan penambahan data
- Pengurusan status Beacon, yang mengawal komunikasi dengan C2
Berikut ialah set arahan lengkap yang disokong oleh LOTUSLITE:
- 0x0A: Mulakan shell CMD jauh
- 0x0B: Tamatkan shell jauh
- 0x01: Hantar arahan melalui shell
- 0x06: Tetapkan semula keadaan suar
- 0x03: Senaraikan fail
- 0x0D: Cipta fail kosong
- 0x0E: Tambahkan data ke fail
- 0x0F: Dapatkan status suar
LOTUSLITE juga memastikan kegigihan dengan mengubah tetapan Pendaftaran Windows supaya ia dilaksanakan secara automatik pada setiap log masuk pengguna.
Ciri-ciri Tingkah Laku dan Fokus Operasi
Penganalisis keselamatan memerhatikan bahawa LOTUSLITE mempamerkan persamaan tingkah laku dengan alat sebelumnya yang digunakan oleh Mustang Panda, seperti Claimloader, terutamanya menyematkan rentetan pesanan provokatif yang menyokong usaha kejuruteraan sosial. Claimloader itu sendiri merupakan pemuat DLL yang digunakan untuk menggunakan muatan Mustang Panda lain seperti PUBLOAD dalam kempen terdahulu.
Operasi ini menggariskan trend yang lebih luas dalam spear-phishing yang disasarkan: daripada bergantung pada eksploitasi hari sifar yang kompleks, kumpulan ancaman berterusan yang canggih sering mencapai akses melalui gewang yang berkaitan dengan sosial yang digabungkan dengan kaedah pelaksanaan yang teruji dengan baik seperti pemuatan sisi DLL. Walaupun LOTUSLITE tidak mempunyai ciri pengelakan yang sangat canggih, keupayaan Perintah dan Kawalannya yang mudah dan aliran pelaksanaan yang boleh dipercayai menjadikannya alat praktikal untuk pengintipan jangka panjang.
Kempen ini menunjukkan bahawa teknik yang mudah dan biasa pun boleh kekal berkesan apabila digandingkan dengan penargetan pintar dan tarikan yang relevan secara kontekstual, terutamanya terhadap rangkaian institusi bernilai tinggi.
