LOTUSLITE Backdoor
Studiuesit e sigurisë kanë zbuluar një fushatë të sofistikuar programesh keqdashëse që synojnë qeverinë dhe institucionet e politikave të SHBA-së, duke përdorur tema politike në kohën e duhur për të joshur viktimat. Aktorët kërcënues kanë integruar një arkiv ZIP të titulluar 'SHBA tani po vendos se çfarë do të ndodhë më pas me Venezuelën.zip' në mesazhe spear-phishing të dizajnuara për t'u bërë thirrje marrësit e shqetësuar me zhvillimet e fundit SHBA-Venezuelë. Nëse hapet, ky arkiv ofron një derë të pasme të njohur si LOTUSLITE nëpërmjet ngarkimit anësor të DLL, një metodë që shfrytëzon aplikacione legjitime për të fshehur ngarkesat keqdashëse dhe për të shmangur zbulimin. Mbetet e paqartë nëse ndonjë nga viktimat e synuara është kompromentuar me sukses.
Fushata i është atribuar me besim të moderuar grupit kinez të spiunazhit kibernetik Mustang Panda, i lidhur me shtetin. Ky atribuim bazohet në qasje taktike të mbivendosura dhe gjurmë infrastrukturore të lidhura më parë me këtë grup, i njohur mirë për shënjestrimin e motivuar politikisht dhe për favorizimin e ngarkimit anësor mbi aksesin fillestar të bazuar në shfrytëzim.
Tabela e Përmbajtjes
Mekanizmi i Dorëzimit dhe Ekzekutimit
ZIP-i keqdashës përmban një skedar ekzekutues mashtrues dhe një bibliotekë me lidhje dinamike që niset përmes ngarkimit anësor të DLL-së, një rrjedhë ekzekutimi e besueshme në të cilën një proces i mirë ngarkon pa dashje një bibliotekë keqdashëse. Mustang Panda e ka përdorur vazhdimisht këtë teknikë në operacionet e mëparshme, duke përfshirë shtyrjen e dyerve të pasme si TONESHELL.
Pasi ekzekutohet, DLL-ja e implantuar (e quajtur kugou.dll) vepron si një derë e pasme C++ e personalizuar e projektuar për detyra spiunazhi. LOTUSLITE krijon lidhje me serverin e saj të koduar fort Command-and-Control (C2) duke shfrytëzuar API-në Windows WinHTTP, duke mundësuar komanda në distancë dhe nxjerrjen e të dhënave.
Aftësitë e derës së pasme
LOTUSLITE mbështet një sërë operacionesh kryesore që lehtësojnë kontrollin dhe zbulimin në distancë. Këto përfshijnë:
- Ekzekutimi i komandës në distancë nëpërmjet krijimit dhe kontrollit të një shell CMD
- Ndërveprimet e sistemit të skedarëve, të tilla si numërimi i direktorive, krijimi i skedarëve dhe shtimi i të dhënave
- Menaxhimi i statusit të Beacon, i cili kontrollon komunikimin me C2
Ja grupi i plotë i komandave të mbështetura nga LOTUSLITE:
- 0x0A: Iniconi shell-in e largët CMD
- 0x0B: Përfundo shell-in e largët
- 0x01: Dërgoni komanda përmes shell-it
- 0x06: Rivendos gjendjen e sinjalizuesit
- 0x03: Numëroni skedarët
- 0x0D: Krijo skedar bosh
- 0x0E: Shtimi i të dhënave në skedar
- 0x0F: Rikthe statusin e sinjalizuesit
LOTUSLITE gjithashtu siguron qëndrueshmëri duke ndryshuar cilësimet e Regjistrit të Windows në mënyrë që të ekzekutohet automatikisht në çdo hyrje të përdoruesit.
Tiparet e Sjelljes dhe Fokusi Operacional
Analistët e sigurisë vunë re se LOTUSLITE shfaq ngjashmëri në sjellje me mjetet e mëparshme të përdorura nga Mustang Panda, siç është Claimloader, duke përfshirë veçanërisht përfshirjen e vargjeve provokuese të mesazheve që mbështesin përpjekjet e inxhinierisë sociale. Claimloader është vetë një ngarkues DLL i përdorur për të vendosur ngarkesa të tjera të Mustang Panda si PUBLOAD në fushatat e mëparshme.
Ky operacion nënvizon një trend më të gjerë në spear-phishing të synuar: në vend që të mbështeten në shfrytëzime komplekse zero-day, grupet e avancuara të kërcënimeve të vazhdueshme shpesh arrijnë akses përmes karremeve të rëndësishme shoqërore të kombinuara me metoda ekzekutimi të testuara mirë, siç është ngarkimi anësor i DLL. Edhe pse LOTUSLITE nuk ka veçori shumë të avancuara shmangieje, aftësitë e tij të thjeshta të Komandës dhe Kontrollit dhe rrjedha e besueshme e ekzekutimit e bëjnë atë një mjet praktik për spiunazh afatgjatë.
Fushata demonstron se edhe teknikat e thjeshta dhe të njohura mund të mbeten efektive kur shoqërohen me shënjestrim inteligjent dhe karremime relevante në kontekst, veçanërisht kundër rrjeteve institucionale me vlerë të lartë.
