Ușă din spate LOTUSLITE
Cercetătorii în domeniul securității au descoperit o campanie sofisticată de malware care viza guvernul și instituțiile politice din SUA, folosind teme politice oportune pentru a atrage victimele. Actorii care au atacat au integrat o arhivă ZIP intitulată „SUA decide acum ce urmează pentru Venezuela.zip” în mesaje de spear-phishing concepute pentru a atrage destinatarii îngrijorați de evoluțiile recente din SUA și Venezuela. Dacă este deschisă, această arhivă furnizează un backdoor cunoscut sub numele de LOTUSLITE prin încărcare laterală DLL, o metodă care utilizează aplicații legitime pentru a ascunde sarcini utile rău intenționate și a evita detectarea. Rămâne neclar dacă vreuna dintre victimele vizate a fost compromisă cu succes.
Campania a fost atribuită cu o încredere moderată grupării de ciberspionaj chineze Mustang Panda, cu legături cu statul. Această atribuire se bazează pe abordări tactice suprapuse și amprente de infrastructură legate anterior de această grupare, bine cunoscută pentru direcționarea politică și pentru favorizarea încărcării laterale în detrimentul accesului inițial bazat pe exploit-uri.
Cuprins
Mecanismul de livrare și execuție
Fișierul ZIP malițios conține un executabil capcană și o bibliotecă cu legături dinamice lansată prin încărcare laterală DLL, un flux de execuție fiabil în care un proces benign încarcă accidental o bibliotecă malițioasă. Mustang Panda a folosit în mod constant această tehnică în operațiuni anterioare, inclusiv prin introducerea de backdoor-uri precum TONESHELL.
Odată executată, DLL-ul implantat (numit kugou.dll) acționează ca o backdoor C++ personalizată, proiectată pentru sarcini de spionaj. LOTUSLITE stabilește conexiunea la serverul său Command-and-Control (C2) codificat hard-coded prin utilizarea API-ului Windows WinHTTP, permițând comenzi la distanță și extragerea datelor.
Capacități Backdoor
LOTUSLITE suportă un set de operațiuni de bază care facilitează controlul de la distanță și recunoașterea. Acestea includ:
- Executarea comenzilor la distanță prin generarea și controlul unui shell CMD
- Interacțiuni cu sistemul de fișiere, cum ar fi enumerarea directoarelor, crearea de fișiere și adăugarea de date
- Gestionarea stării beaconului, care controlează comunicarea cu C2
Iată setul complet de comenzi acceptate de LOTUSLITE:
- 0x0A: Inițiază shell-ul CMD la distanță
- 0x0B: Termină shell-ul la distanță
- 0x01: Trimite comenzi prin shell
- 0x06: Resetează starea balizei
- 0x03: Enumerați fișierele
- 0x0D: Creează fișier gol
- 0x0E: Adăugați date la fișier
- 0x0F: Preia starea beaconului
LOTUSLITE asigură, de asemenea, persistența prin modificarea setărilor Registrului Windows, astfel încât să se execute automat la fiecare conectare a utilizatorului.
Trăsături comportamentale și concentrare operațională
Analiștii de securitate au observat că LOTUSLITE prezintă similarități comportamentale cu instrumentele anterioare implementate de Mustang Panda, cum ar fi Claimloader, în special prin încorporarea unor mesaje provocatoare care susțin eforturile de inginerie socială. Claimloader este în sine un încărcător DLL folosit pentru a implementa alte sarcini utile Mustang Panda, precum PUBLOAD, în campaniile anterioare.
Această operațiune subliniază o tendință mai amplă în spear-phishing-ul țintit: în loc să se bazeze pe exploatări complexe de tip zero-day, grupurile de amenințări persistente avansate obțin adesea acces prin intermediul unor momeli relevante din punct de vedere social, combinate cu metode de execuție bine testate, cum ar fi încărcarea laterală a DLL-urilor. Deși LOTUSLITE nu dispune de funcții de evitare extrem de avansate, capacitățile sale simple de comandă și control și fluxul de execuție fiabil îl fac un instrument practic pentru spionajul pe termen lung.
Campania demonstrează că până și tehnicile simple și familiare pot rămâne eficiente atunci când sunt asociate cu o direcționare inteligentă și atrage atenția în mod contextual, în special împotriva rețelelor instituționale de mare valoare.
