Задняя дверь LOTUSLITE
Исследователи в области безопасности обнаружили сложную кампанию вредоносного ПО, направленную на правительство и политические институты США, использующую актуальные политические темы для привлечения жертв. Злоумышленники внедрили ZIP-архив под названием «US now deciding what’s next for Venezuela.zip» в фишинговые сообщения, предназначенные для привлечения получателей, обеспокоенных последними событиями в отношениях США и Венесуэлы. При открытии этот архив запускает бэкдор, известный как LOTUSLITE, посредством установки DLL-библиотек, что позволяет использовать легитимные приложения для сокрытия вредоносных программ и избежания обнаружения. Остается неясным, удалось ли успешно скомпрометировать кого-либо из предполагаемых жертв.
С умеренной степенью уверенности эту кампанию приписывают связанной с государством китайской кибершпионской группе «Мустанг Панда». Это предположение основано на совпадении тактических подходов и инфраструктурных связей, ранее связанных с этой группой, известной своими политически мотивированными целями и предпочтением установки вредоносного ПО через сторонние сервисы вместо первоначального доступа с использованием эксплойтов.
Оглавление
Механизм доставки и исполнения
Вредоносный ZIP-архив содержит фиктивный исполняемый файл и динамически подключаемую библиотеку, которая запускается посредством DLL-загрузки — надежного процесса выполнения, при котором безобидный процесс непреднамеренно загружает вредоносную библиотеку. Mustang Panda постоянно использовала эту технику в своих предыдущих операциях, в том числе при распространении бэкдоров, таких как TONESHELL.
После запуска внедренная DLL (с именем kugou.dll) действует как специально разработанный на C++ бэкдор, предназначенный для шпионских задач. LOTUSLITE устанавливает соединение со своим жестко закодированным сервером управления и контроля (C2), используя API Windows WinHTTP, что позволяет выполнять удаленные команды и извлекать данные.
Возможности бэкдора
LOTUSLITE поддерживает набор основных операций, обеспечивающих дистанционное управление и разведку. К ним относятся:
- Удаленное выполнение команд путем запуска и управления командной оболочкой CMD.
- Взаимодействие с файловой системой, такое как перечисление каталогов, создание файлов и добавление данных.
- Управление состоянием маяка, которое контролирует связь с центром управления и контроля (C2).
Вот полный набор команд, поддерживаемых LOTUSLITE:
- 0x0A: Инициализация удалённой командной оболочки CMD
- 0x0B: Завершение работы удаленной оболочки
- 0x01: Отправка команд через оболочку
- 0x06: Сброс состояния маяка
- 0x03: Перечисление файлов
- 0x0D: Создать пустой файл
- 0x0E: Добавить данные в файл
- 0x0F: Получение статуса маяка
LOTUSLITE также обеспечивает сохранение данных, изменяя параметры реестра Windows таким образом, чтобы программа автоматически запускалась при каждом входе пользователя в систему.
Поведенческие черты и оперативная направленность
Аналитики безопасности отметили, что LOTUSLITE демонстрирует сходство в поведении с предыдущими инструментами, используемыми Mustang Panda, такими как Claimloader, в частности, внедряя провокационные сообщения, поддерживающие методы социальной инженерии. Сам Claimloader представляет собой DLL-загрузчик, используемый для развертывания других полезных нагрузок Mustang Panda, таких как PUBLOAD, в более ранних кампаниях.
Эта операция подчеркивает более широкую тенденцию в целенаправленном фишинге: вместо того, чтобы полагаться на сложные эксплойты нулевого дня, продвинутые группы, занимающиеся постоянными атаками, часто получают доступ с помощью социально значимых приманок в сочетании с хорошо проверенными методами выполнения, такими как загрузка DLL-файлов. Хотя LOTUSLITE не обладает высокоразвитыми функциями обхода защиты, его простые возможности управления и контроля, а также надежный поток выполнения делают его практичным инструментом для долгосрочного шпионажа.
Кампания демонстрирует, что даже простые, хорошо известные методы могут оставаться эффективными в сочетании с грамотным таргетированием и контекстно релевантными приманками, особенно в отношении крупных институциональных сетей.
