LOTUSLITE ਬੈਕਡੋਰ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਗੁੰਝਲਦਾਰ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸਦਾ ਉਦੇਸ਼ ਅਮਰੀਕੀ ਸਰਕਾਰ ਅਤੇ ਨੀਤੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ ਹੈ, ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਸਮੇਂ ਸਿਰ ਰਾਜਨੀਤਿਕ ਥੀਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ 'US now deciding what's next for Venezuela.zip' ਸਿਰਲੇਖ ਵਾਲਾ ਇੱਕ ZIP ਪੁਰਾਲੇਖ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਸੁਨੇਹਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਸੀ ਜੋ ਹਾਲੀਆ US-Venezuela ਵਿਕਾਸ ਨਾਲ ਸਬੰਧਤ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਅਪੀਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਜੇਕਰ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਪੁਰਾਲੇਖ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੁਆਰਾ LOTUSLITE ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਬੈਕਡੋਰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਇੱਕ ਅਜਿਹਾ ਤਰੀਕਾ ਜੋ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ ਛੁਪਾਉਣ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਜਾਇਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਇਹ ਅਸਪਸ਼ਟ ਹੈ ਕਿ ਕੀ ਕਿਸੇ ਵੀ ਇਰਾਦੇ ਵਾਲੇ ਪੀੜਤ ਨਾਲ ਸਫਲਤਾਪੂਰਵਕ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ।

ਇਸ ਮੁਹਿੰਮ ਦਾ ਸਿਹਰਾ ਰਾਜ ਨਾਲ ਜੁੜੇ ਚੀਨੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮੂਹ ਮਸਤੰਗ ਪਾਂਡਾ ਨੂੰ ਦਰਮਿਆਨੇ ਵਿਸ਼ਵਾਸ ਨਾਲ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਇਸ ਸਮੂਹ ਨਾਲ ਪਹਿਲਾਂ ਜੁੜੇ ਰਣਨੀਤਕ ਪਹੁੰਚਾਂ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਪੈਰਾਂ ਦੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਓਵਰਲੈਪ ਕਰਨ 'ਤੇ ਅਧਾਰਤ ਹੈ, ਜੋ ਰਾਜਨੀਤਿਕ ਤੌਰ 'ਤੇ ਸੰਚਾਲਿਤ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਅਤੇ ਸ਼ੋਸ਼ਣ-ਅਧਾਰਤ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਨਾਲੋਂ ਸਾਈਡ-ਲੋਡਿੰਗ ਦੇ ਪੱਖ ਵਿੱਚ ਜਾਣੀ ਜਾਂਦੀ ਹੈ।

ਡਿਲੀਵਰੀ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਿਧੀ

ਖਤਰਨਾਕ ZIP ਵਿੱਚ ਇੱਕ ਡੀਕੋਏ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਅਤੇ ਇੱਕ ਡਾਇਨਾਮਿਕ-ਲਿੰਕ ਲਾਇਬ੍ਰੇਰੀ ਹੁੰਦੀ ਹੈ ਜੋ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੁਆਰਾ ਲਾਂਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਇੱਕ ਭਰੋਸੇਯੋਗ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਫਲੋ ਜਿਸ ਵਿੱਚ ਇੱਕ ਸੁਭਾਵਕ ਪ੍ਰਕਿਰਿਆ ਅਣਜਾਣੇ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ ਲਾਇਬ੍ਰੇਰੀ ਨੂੰ ਲੋਡ ਕਰਦੀ ਹੈ। ਮਸਤੰਗ ਪਾਂਡਾ ਨੇ ਪਿਛਲੇ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਲਗਾਤਾਰ ਇਸ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਟੋਨੇਸ਼ੇਲ ਵਰਗੇ ਬੈਕਡੋਰ ਨੂੰ ਧੱਕਣਾ ਸ਼ਾਮਲ ਹੈ।

ਇੱਕ ਵਾਰ ਚੱਲਣ ਤੋਂ ਬਾਅਦ, ਇਮਪਲਾਂਟ ਕੀਤਾ DLL (kugou.dll ਨਾਮ ਦਿੱਤਾ ਗਿਆ) ਜਾਸੂਸੀ ਕਾਰਜਾਂ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਇੱਕ ਕਸਟਮ C++ ਬੈਕਡੋਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। LOTUSLITE Windows WinHTTP API ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਅਤੇ ਡੇਟਾ ਐਕਸਟਰੈਕਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾ ਕੇ ਆਪਣੇ ਹਾਰਡ-ਕੋਡਿਡ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।

ਬੈਕਡੋਰ ਸਮਰੱਥਾਵਾਂ

LOTUSLITE ਕੋਰ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ ਜੋ ਰਿਮੋਟ ਕੰਟਰੋਲ ਅਤੇ ਖੋਜ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹਨ। ਇਹਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਇੱਕ CMD ਸ਼ੈੱਲ ਨੂੰ ਪੈਦਾ ਕਰਨ ਅਤੇ ਕੰਟਰੋਲ ਕਰਨ ਦੁਆਰਾ ਰਿਮੋਟ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਫਾਈਲ ਸਿਸਟਮ ਪਰਸਪਰ ਪ੍ਰਭਾਵ, ਜਿਵੇਂ ਕਿ ਡਾਇਰੈਕਟਰੀ ਗਣਨਾ, ਫਾਈਲ ਬਣਾਉਣਾ, ਅਤੇ ਡੇਟਾ ਜੋੜਨਾ
• ਬੀਕਨ ਸਥਿਤੀ ਪ੍ਰਬੰਧਨ, ਜੋ C2 ਨਾਲ ਸੰਚਾਰ ਨੂੰ ਕੰਟਰੋਲ ਕਰਦਾ ਹੈ

ਇੱਥੇ LOTUSLITE ਦੁਆਰਾ ਸਮਰਥਿਤ ਪੂਰਾ ਕਮਾਂਡ ਸੈੱਟ ਹੈ:

• 0x0A: ਰਿਮੋਟ CMD ਸ਼ੈੱਲ ਸ਼ੁਰੂ ਕਰੋ
• 0x0B: ਰਿਮੋਟ ਸ਼ੈੱਲ ਨੂੰ ਖਤਮ ਕਰੋ
• 0x01: ਸ਼ੈੱਲ ਰਾਹੀਂ ਕਮਾਂਡਾਂ ਭੇਜੋ
• 0x06: ਬੀਕਨ ਸਥਿਤੀ ਰੀਸੈਟ ਕਰੋ
• 0x03: ਫਾਈਲਾਂ ਦੀ ਗਿਣਤੀ ਕਰੋ

• 0x0D: ਖਾਲੀ ਫਾਈਲ ਬਣਾਓ

• 0x0E: ਫਾਈਲ ਵਿੱਚ ਡੇਟਾ ਜੋੜੋ

• 0x0F: ਬੀਕਨ ਸਥਿਤੀ ਪ੍ਰਾਪਤ ਕਰੋ

LOTUSLITE ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲ ਕੇ ਸਥਿਰਤਾ ਨੂੰ ਵੀ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਤਾਂ ਜੋ ਇਹ ਹਰੇਕ ਉਪਭੋਗਤਾ ਲੌਗਇਨ 'ਤੇ ਆਪਣੇ ਆਪ ਚੱਲ ਸਕੇ।

ਵਿਵਹਾਰਕ ਗੁਣ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਫੋਕਸ

ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਦੇਖਿਆ ਕਿ LOTUSLITE, Mustang Panda ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤੇ ਗਏ ਪਿਛਲੇ ਟੂਲਸ, ਜਿਵੇਂ ਕਿ Claimloader, ਨਾਲ ਵਿਵਹਾਰਕ ਸਮਾਨਤਾਵਾਂ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਭੜਕਾਊ ਮੈਸੇਜਿੰਗ ਸਟ੍ਰਿੰਗਾਂ ਨੂੰ ਏਮਬੈਡ ਕਰਦਾ ਹੈ ਜੋ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਯਤਨਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦੇ ਹਨ। Claimloader ਆਪਣੇ ਆਪ ਵਿੱਚ ਇੱਕ DLL ਲੋਡਰ ਹੈ ਜੋ ਪਹਿਲਾਂ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ PUBLOAD ਵਰਗੇ ਹੋਰ Mustang Panda ਪੇਲੋਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

ਇਹ ਕਾਰਵਾਈ ਨਿਸ਼ਾਨਾਬੱਧ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਵਿੱਚ ਇੱਕ ਵਿਆਪਕ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ: ਗੁੰਝਲਦਾਰ ਜ਼ੀਰੋ-ਡੇਅ ਸ਼ੋਸ਼ਣਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ, ਉੱਨਤ ਸਥਾਈ ਧਮਕੀ ਸਮੂਹ ਅਕਸਰ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਵਰਗੇ ਚੰਗੀ ਤਰ੍ਹਾਂ ਪਰਖੇ ਗਏ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤਰੀਕਿਆਂ ਦੇ ਨਾਲ ਸਮਾਜਿਕ ਤੌਰ 'ਤੇ ਸੰਬੰਧਿਤ ਲਾਲਚਾਂ ਰਾਹੀਂ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। ਹਾਲਾਂਕਿ LOTUSLITE ਵਿੱਚ ਬਹੁਤ ਹੀ ਉੱਨਤ ਚੋਰੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਘਾਟ ਹੈ, ਇਸਦੀ ਸਿੱਧੀ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਭਰੋਸੇਯੋਗ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਵਾਹ ਇਸਨੂੰ ਲੰਬੇ ਸਮੇਂ ਦੀ ਜਾਸੂਸੀ ਲਈ ਇੱਕ ਵਿਹਾਰਕ ਸਾਧਨ ਬਣਾਉਂਦੇ ਹਨ।

ਇਹ ਮੁਹਿੰਮ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਸਧਾਰਨ, ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਤਕਨੀਕਾਂ ਵੀ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਰਹਿ ਸਕਦੀਆਂ ਹਨ ਜਦੋਂ ਬੁੱਧੀਮਾਨ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਅਤੇ ਪ੍ਰਸੰਗਿਕ ਤੌਰ 'ਤੇ ਸੰਬੰਧਿਤ ਲਾਲਚਾਂ ਨਾਲ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਸੰਸਥਾਗਤ ਨੈੱਟਵਰਕਾਂ ਦੇ ਵਿਰੁੱਧ।