Zadné vrátka LOTUSLITE

Bezpečnostní výskumníci odhalili sofistikovanú malvérovú kampaň zameranú na vládu a politické inštitúcie USA, ktorá využívala aktuálne politické témy na nalákanie obetí. Páchatelia vložili ZIP archív s názvom „USA teraz rozhodujú, čo bude ďalej pre Venezuelu.zip“ do phishingových správ určených na oslovenie príjemcov znepokojených nedávnym vývojom medzi USA a Venezuelou. Po otvorení tohto archívu sa prostredníctvom bočného načítavania DLL, čo je metóda, ktorá využíva legitímne aplikácie na skrytie škodlivého obsahu a vyhýbanie sa odhaleniu, podaria zadné vrátka známe ako LOTUSLITE. Zostáva nejasné, či boli niektoré z zamýšľaných obetí úspešne napadnuté.

Kampaň bola s miernou istotou pripísaná štátom napojenej čínskej kybernetickej špionážnej skupine Mustang Panda. Toto pripisovanie je založené na prekrývajúcich sa taktických prístupoch a infraštruktúrnych stopách, ktoré boli predtým spájané s touto skupinou, ktorá je známa politicky motivovaným zacielením a uprednostňovaním bočného zaťaženia pred počiatočným prístupom založeným na zneužívaní.

Mechanizmus doručenia a vykonania

Škodlivý ZIP súbor obsahuje návnadový spustiteľný súbor a dynamicky linkovanú knižnicu, ktorá sa spúšťa prostredníctvom bočného načítavania DLL, čo je spoľahlivý postup vykonávania, v ktorom neškodný proces nechtiac načíta škodlivú knižnicu. Mustang Panda túto techniku konzistentne používal v predchádzajúcich operáciách vrátane odomykania zadných vrátok, ako je napríklad TONESHELL.

Po spustení implantovaná knižnica DLL (s názvom kugou.dll) funguje ako vlastné zadné vrátka v jazyku C++ určené na špionážne úlohy. LOTUSLITE nadväzuje pripojenie k svojmu pevne kódovanému serveru Command-and-Control (C2) využitím rozhrania Windows WinHTTP API, čo umožňuje vzdialené príkazy a extrakciu údajov.

Možnosti zadných vrátok

LOTUSLITE podporuje súbor základných operácií, ktoré uľahčujú diaľkové ovládanie a prieskum. Patria sem:

• Vzdialené vykonávanie príkazov prostredníctvom spustenia a ovládania CMD shellu
• Interakcie súborového systému, ako napríklad enumerácia adresárov, vytváranie súborov a pridávanie údajov
• Správa stavu majákov, ktorá riadi komunikáciu s C2

Tu je kompletná sada príkazov podporovaná programom LOTUSLITE:

• 0x0A: Spustiť vzdialený shell CMD
• 0x0B: Ukončenie vzdialeného shellu
• 0x01: Odosielanie príkazov cez shell
• 0x06: Obnoviť stav majáku
• 0x03: Vymenovať súbory

• 0x0D: Vytvoriť prázdny súbor

• 0x0E: Pridať dáta do súboru

• 0x0F: Získanie stavu majáku

LOTUSLITE tiež zaisťuje trvalosť zmenou nastavení registra systému Windows tak, aby sa automaticky spúšťal pri každom prihlásení používateľa.

Behaviorálne črty a operačné zameranie

Bezpečnostní analytici zistili, že LOTUSLITE vykazuje behaviorálne podobnosti s predchádzajúcimi nástrojmi nasadenými spoločnosťou Mustang Panda, ako napríklad Claimloader, najmä vkladaním provokatívnych reťazcov správ, ktoré podporujú úsilie o sociálne inžinierstvo. Claimloader je sám o sebe zavádzač DLL používaný na nasadenie iných dátových súborov Mustang Panda, ako napríklad PUBLOAD, v skorších kampaniach.

Táto operácia podčiarkuje širší trend v cielenom spear-phishingu: namiesto spoliehania sa na zložité zero-day exploity, pokročilé skupiny pretrvávajúcich hrozieb často získavajú prístup prostredníctvom spoločensky relevantných návnad v kombinácii s overenými metódami vykonávania, ako je napríklad bočné načítavanie DLL. Hoci LOTUSLITE chýbajú vysoko pokročilé funkcie úniku, jeho priamočiare funkcie Command-and-Control a spoľahlivý postup vykonávania z neho robia praktický nástroj pre dlhodobú špionáž.

Kampaň demonštruje, že aj jednoduché, známe techniky môžu zostať účinné v kombinácii s inteligentným zacielením a kontextovo relevantnými lákadlami, najmä proti inštitucionálnym sieťam s vysokou hodnotou.