LOTUSLITE पछाडिको ढोका

सुरक्षा अनुसन्धानकर्ताहरूले पीडितहरूलाई लोभ्याउन समयसापेक्ष राजनीतिक विषयवस्तुहरू प्रयोग गर्दै अमेरिकी सरकार र नीति संस्थाहरूलाई लक्षित गरी एक परिष्कृत मालवेयर अभियानको पर्दाफास गरेका छन्। धम्की दिनेहरूले 'अमेरिकाले अब भेनेजुएलाका लागि के गर्ने निर्णय गरिरहेको छ.zip' शीर्षकको ZIP अभिलेखलाई भाला-फिसिङ सन्देशहरूमा एम्बेड गरेका थिए जुन हालैका US-भेनेजुएला विकासहरूसँग सम्बन्धित प्राप्तकर्ताहरूलाई अपील गर्न डिजाइन गरिएको थियो। यदि खोलियो भने, यो अभिलेखले DLL साइड-लोडिङ मार्फत LOTUSLITE भनेर चिनिने ब्याकडोर प्रदान गर्दछ, यो विधि जसले दुर्भावनापूर्ण पेलोडहरू लुकाउन र पत्ता लगाउनबाट बच्न वैध अनुप्रयोगहरूको लाभ उठाउँछ। यो स्पष्ट छैन कि कुनै पनि अभिप्रेत पीडितहरू सफलतापूर्वक सम्झौता गरिएको थियो कि थिएन।

यो अभियानलाई राज्यसँग सम्बन्धित चिनियाँ साइबर जासूसी समूह मुस्ताङ पाण्डालाई मध्यम आत्मविश्वासका साथ श्रेय दिइएको छ। यो श्रेय यस समूहसँग पहिले जोडिएका रणनीतिक दृष्टिकोणहरू र पूर्वाधार पदचिह्नहरूलाई ओभरल्याप गर्ने कुरामा आधारित छ, जुन राजनीतिक रूपमा संचालित लक्ष्यीकरण र शोषण-आधारित प्रारम्भिक पहुँच भन्दा साइड-लोडिङलाई समर्थन गर्ने कुराको लागि परिचित छ।

वितरण र कार्यान्वयन संयन्त्र

मालिसियस जिपमा डिकोय एक्जिक्युटेबल र डायनामिक-लिङ्क लाइब्रेरी हुन्छ जुन DLL साइड-लोडिङ मार्फत सुरु हुन्छ, एक भरपर्दो कार्यान्वयन प्रवाह जसमा एक सौम्य प्रक्रियाले अनजानमा मालिसियस लाइब्रेरी लोड गर्छ। मुस्ताङ पाण्डाले TONESHELL जस्ता ब्याकडोरहरू धकेल्ने सहित पहिलेका अपरेशनहरूमा यो प्रविधि निरन्तर प्रयोग गरेको छ।

एक पटक कार्यान्वयन भएपछि, प्रत्यारोपित DLL (kugou.dll नाम दिइएको) ले जासुसी कार्यहरूको लागि ईन्जिनियर गरिएको अनुकूलन C++ ब्याकडोरको रूपमा काम गर्दछ। LOTUSLITE ले Windows WinHTTP API को लाभ उठाएर, रिमोट आदेशहरू र डेटा निकासी सक्षम पारेर यसको हार्ड-कोडेड कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा जडान स्थापना गर्दछ।

ब्याकडोर क्षमताहरू

LOTUSLITE ले रिमोट कन्ट्रोल र टोहीलाई सहज बनाउने कोर अपरेशनहरूको सेटलाई समर्थन गर्दछ। यसमा समावेश छन्:

• CMD शेललाई स्पोनिङ र नियन्त्रण गरेर रिमोट कमाण्ड कार्यान्वयन
• फाइल प्रणाली अन्तरक्रियाहरू, जस्तै निर्देशिका गणना, फाइल सिर्जना, र डेटा थप्ने
• C2 सँगको सञ्चार नियन्त्रण गर्ने बीकन स्थिति व्यवस्थापन

LOTUSLITE द्वारा समर्थित पूर्ण आदेश सेट यहाँ छ:

• ०x०ए: रिमोट सीएमडी शेल सुरु गर्नुहोस्
• ०x०B: रिमोट शेल समाप्त गर्नुहोस्
• ०x०१: शेल मार्फत आदेशहरू पठाउनुहोस्
• ०x०६: बिकन अवस्था रिसेट गर्नुहोस्
• ०x०३: फाइलहरू गणना गर्नुहोस्

LOTUSLITE ले विन्डोज रजिस्ट्री सेटिङहरू परिवर्तन गरेर पनि दृढता सुनिश्चित गर्दछ ताकि यो प्रत्येक प्रयोगकर्ता लगइनमा स्वचालित रूपमा कार्यान्वयन हुन्छ।

व्यवहारिक विशेषताहरू र सञ्चालन फोकस

सुरक्षा विश्लेषकहरूले अवलोकन गरे कि LOTUSLITE ले मुस्ताङ पाण्डाद्वारा तैनाथ गरिएका अघिल्ला उपकरणहरू जस्तै क्लेमलोडरसँग व्यवहारिक समानताहरू प्रदर्शन गर्दछ, विशेष गरी सामाजिक इन्जिनियरिङ प्रयासहरूलाई समर्थन गर्ने उत्तेजक सन्देश स्ट्रिङहरू इम्बेड गर्दछ। क्लेमलोडर आफैंमा एक DLL लोडर हो जुन पहिलेका अभियानहरूमा PUBLOAD जस्ता अन्य मुस्ताङ पाण्डा पेलोडहरू तैनाथ गर्न प्रयोग गरिन्छ।

यो अपरेशनले लक्षित भाला-फिसिङमा फराकिलो प्रवृत्तिलाई रेखांकित गर्दछ: जटिल शून्य-दिन शोषणहरूमा भर पर्नुको सट्टा, उन्नत निरन्तर खतरा समूहहरूले प्रायः DLL साइड-लोडिङ जस्ता राम्रोसँग परीक्षण गरिएका कार्यान्वयन विधिहरूसँग मिलेर सामाजिक रूपमा सान्दर्भिक प्रलोभनहरू मार्फत पहुँच प्राप्त गर्छन्। यद्यपि LOTUSLITE मा अत्यधिक उन्नत चोरी सुविधाहरूको अभाव छ, यसको सीधा कमाण्ड-एन्ड-नियन्त्रण क्षमताहरू र भरपर्दो कार्यान्वयन प्रवाहले यसलाई दीर्घकालीन जासुसीको लागि व्यावहारिक उपकरण बनाउँछ।

अभियानले देखाउँछ कि सरल, परिचित प्रविधिहरू पनि बुद्धिमानी लक्ष्यीकरण र सन्दर्भगत रूपमा सान्दर्भिक प्रलोभनहरूसँग जोड्दा प्रभावकारी रहन सक्छन्, विशेष गरी उच्च-मूल्यवान संस्थागत सञ्जालहरू विरुद्ध।