LOTUSLITE задња врата
Истраживачи безбедности открили су софистицирану кампању злонамерног софтвера усмерену на владу САД и политичке институције, користећи актуелне политичке теме како би привукли жртве. Претње су уградиле ZIP архиву под називом „САД сада одлучују шта је следеће за Венецуелу.zip“ у фишинг поруке осмишљене да привуку примаоце забринуте због недавних дешавања у односима САД и Венецуеле. Ако се отвори, ова архива доноси задња врата позната као LOTUSLITE путем бочног учитавања DLL-а, методе која користи легитимне апликације за скривање злонамерних корисних садржаја и избегавање откривања. Остаје нејасно да ли је нека од планираних жртава успешно компромитована.
Кампања се са умереним поверењем приписује кинеској државно повезаној групи за сајбер шпијунажу, Мустанг Панда. Ово приписивање се заснива на преклапајућим тактичким приступима и инфраструктурним отисцима који су раније били повезани са овом групом, добро познатом по политички мотивисаном циљању и фаворизовању бочног учитавања у односу на почетни приступ заснован на експлоатацији.
Преглед садржаја
Механизам испоруке и извршења
Злонамерни ZIP садржи извршну датотеку-мамац и динамичку библиотеку која се покреће путем бочног учитавања DLL-а, поузданог тока извршавања у којем бенигни процес ненамерно учитава злонамерну библиотеку. Мустанг Панда је доследно користио ову технику у претходним операцијама, укључујући и покретање задњих врата попут TONESHELL-а.
Једном покренут, имплантирани DLL (под називом kugou.dll) делује као прилагођени C++ бекдор дизајниран за шпијунске задатке. LOTUSLITE успоставља везу са својим чврсто кодираним командним и контролним (C2) сервером користећи Windows WinHTTP API, омогућавајући даљинске команде и екстракцију података.
Могућности заштитних врата
LOTUSLITE подржава скуп основних операција које олакшавају даљинско управљање и извиђање. То укључује:
- Даљинско извршавање команди путем покретања и контроле CMD љуске
- Интеракције система датотека, као што су набрајање директоријума, креирање датотека и додавање података
- Управљање статусом сигнала, које контролише комуникацију са C2
Ево комплетног скупа команди које подржава LOTUSLITE:
- 0x0A: Покрени удаљену CMD љуску
- 0x0B: Заврши удаљену љуску
- 0x01: Слање команди кроз шкољку
- 0x06: Ресетуј стање сигнала
- 0x03: Наброј датотеке
- 0x0D: Направи празну датотеку
- 0x0E: Додај податке у датотеку
- 0x0F: Преузми статус сигнала
LOTUSLITE такође осигурава постојаност променом подешавања Windows регистра тако да се аутоматски извршава при свакој пријави корисника.
Особине понашања и оперативни фокус
Безбедносни аналитичари су приметили да LOTUSLITE показује сличности у понашању са претходним алатима које је користио Mustang Panda, као што је Claimloader, посебно уграђујући провокативне низове порука који подржавају напоре социјалног инжењеринга. Claimloader је сам DLL учитавач који се користи за распоређивање других корисних садржаја Mustang Panda-е као што је PUBLOAD у ранијим кампањама.
Ова операција подвлачи шири тренд у циљаном фишингу: уместо да се ослањају на сложене експлоите нултог дана, напредне групе упорних претњи често остварују приступ путем друштвено релевантних мамаца у комбинацији са добро тестираним методама извршавања као што је бочно учитавање DLL-а. Иако LOTUSLITE-у недостају веома напредне функције избегавања, његове једноставне могућности командовања и контроле и поуздан ток извршавања чине га практичним алатом за дугорочну шпијунажу.
Кампања показује да чак и једноставне, познате технике могу остати ефикасне када се упаре са интелигентним циљањем и контекстуално релевантним мамацима, посебно против институционалних мрежа високе вредности.
