LOTUSLITE பின்புறக் கதவு
பாதுகாப்பு ஆராய்ச்சியாளர்கள், அமெரிக்க அரசு மற்றும் கொள்கை நிறுவனங்களை இலக்காகக் கொண்ட ஒரு அதிநவீன தீம்பொருள் பிரச்சாரத்தை கண்டுபிடித்துள்ளனர், பாதிக்கப்பட்டவர்களை கவர சரியான நேரத்தில் அரசியல் கருப்பொருள்களைப் பயன்படுத்துகின்றனர். அச்சுறுத்தல் நடிகர்கள் 'Venezuela.zip-க்கு அடுத்து என்ன என்பதை அமெரிக்கா இப்போது தீர்மானிக்கிறது' என்ற தலைப்பில் ஒரு ZIP காப்பகத்தை சமீபத்திய US-வெனிசுலா முன்னேற்றங்கள் குறித்து அக்கறை கொண்ட பெறுநர்களை ஈர்க்க வடிவமைக்கப்பட்ட ஈட்டி-ஃபிஷிங் செய்திகளில் உட்பொதித்தனர். திறந்தால், இந்த காப்பகம் DLL பக்க-ஏற்றுதல் வழியாக LOTUSLITE எனப்படும் ஒரு பின்கதவை வழங்குகிறது, இது தீங்கிழைக்கும் பேலோடுகளை மறைத்து கண்டறிதலைத் தவிர்க்க முறையான பயன்பாடுகளைப் பயன்படுத்தும் ஒரு முறையாகும். நோக்கம் கொண்ட பாதிக்கப்பட்டவர்களில் யாராவது வெற்றிகரமாக சமரசம் செய்யப்பட்டார்களா என்பது தெளிவாகத் தெரியவில்லை.
இந்த பிரச்சாரம் அரசுடன் இணைக்கப்பட்ட சீன சைபர் உளவு குழுவான முஸ்டாங் பாண்டா மீது மிதமான நம்பிக்கையுடன் கூறப்பட்டுள்ளது. இந்த பண்புக்கூறு, முன்னர் இந்தக் குழுவுடன் இணைக்கப்பட்ட தந்திரோபாய அணுகுமுறைகள் மற்றும் உள்கட்டமைப்பு தடயங்களை ஒன்றுடன் ஒன்று அடிப்படையாகக் கொண்டது, இது அரசியல் ரீதியாக இயக்கப்படும் இலக்கு மற்றும் சுரண்டல் அடிப்படையிலான ஆரம்ப அணுகலை விட பக்கவாட்டு ஏற்றுதலை ஆதரிப்பதில் நன்கு அறியப்பட்டதாகும்.
பொருளடக்கம்
விநியோகம் மற்றும் செயல்படுத்தல் வழிமுறை
தீங்கிழைக்கும் ZIP கோப்பு, ஒரு டிகோய் எக்ஸிகியூட்டிபிள் மற்றும் DLL சைட்-லோடிங் மூலம் தொடங்கப்படும் ஒரு டைனமிக்-லிங்க் லைப்ரரியைக் கொண்டுள்ளது, இது ஒரு நம்பகமான செயல்பாட்டு ஓட்டமாகும், இதில் ஒரு தீங்கிழைக்கும் செயல்முறை தற்செயலாக ஒரு தீங்கிழைக்கும் லைப்ரரியை ஏற்றுகிறது. TONESHELL போன்ற பின்கதவுகளைத் தள்ளுவது உட்பட முந்தைய செயல்பாடுகளில் முஸ்டாங் பாண்டா இந்த நுட்பத்தை தொடர்ந்து பயன்படுத்தியுள்ளது.
செயல்படுத்தப்பட்டதும், பொருத்தப்பட்ட DLL (kugou.dll என பெயரிடப்பட்டது) உளவுப் பணிகளுக்காக வடிவமைக்கப்பட்ட தனிப்பயன் C++ பின்புறக் கதவாகச் செயல்படுகிறது. LOTUSLITE, Windows WinHTTP API ஐப் பயன்படுத்தி, தொலை கட்டளைகள் மற்றும் தரவு பிரித்தெடுத்தலை செயல்படுத்துவதன் மூலம் அதன் கடின-குறியிடப்பட்ட கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்துடன் இணைப்பை நிறுவுகிறது.
பின்புற கதவு திறன்கள்
LOTUSLITE தொலைதூரக் கட்டுப்பாடு மற்றும் உளவுத்துறையை எளிதாக்கும் முக்கிய செயல்பாடுகளின் தொகுப்பை ஆதரிக்கிறது. இவற்றில் பின்வருவன அடங்கும்:
- ஒரு CMD ஷெல்லை உருவாக்கி கட்டுப்படுத்துவதன் மூலம் தொலை கட்டளை செயல்படுத்தல்.
- கோப்பகக் கணக்கீடு, கோப்பு உருவாக்கம் மற்றும் தரவுச் சேர்க்கை போன்ற கோப்பு முறைமை இடைவினைகள்
- பீக்கான் நிலை மேலாண்மை, இது C2 உடனான தொடர்பைக் கட்டுப்படுத்துகிறது.
LOTUSLITE ஆல் ஆதரிக்கப்படும் முழுமையான கட்டளை தொகுப்பு இங்கே:
- 0x0A: ரிமோட் CMD ஷெல்லைத் தொடங்கவும்
- 0x0B: ரிமோட் ஷெல்லை நிறுத்து
- 0x01: ஷெல் வழியாக கட்டளைகளை அனுப்பவும்
- 0x06: பீக்கான் நிலையை மீட்டமைக்கவும்
- 0x03: கோப்புகளை எண்ணுங்கள்
ஒவ்வொரு பயனர் உள்நுழைவிலும் தானாகவே செயல்படும் வகையில், விண்டோஸ் பதிவேட்டின் அமைப்புகளை மாற்றுவதன் மூலம் LOTUSLITE நிலைத்தன்மையையும் உறுதி செய்கிறது.
நடத்தை பண்புகள் மற்றும் செயல்பாட்டு கவனம்
பாதுகாப்பு ஆய்வாளர்கள், LOTUSLITE, Mustang Panda ஆல் பயன்படுத்தப்பட்ட முந்தைய கருவிகளான Claimloader போன்றவற்றுடன் நடத்தை ஒற்றுமைகளைக் காட்டுவதாகக் கண்டறிந்தனர், குறிப்பாக சமூக பொறியியல் முயற்சிகளை ஆதரிக்கும் ஆத்திரமூட்டும் செய்தியிடல் சரங்களை உட்பொதிக்கிறது. Claimloader என்பது முந்தைய பிரச்சாரங்களில் PUBLOAD போன்ற பிற Mustang Panda பேலோடுகளைப் பயன்படுத்தப் பயன்படுத்தப்படும் ஒரு DLL ஏற்றியாகும்.
இந்த செயல்பாடு இலக்கு வைக்கப்பட்ட ஈட்டி-ஃபிஷிங்கில் ஒரு பரந்த போக்கை அடிக்கோடிட்டுக் காட்டுகிறது: சிக்கலான பூஜ்ஜிய-நாள் சுரண்டல்களை நம்புவதற்குப் பதிலாக, மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் குழுக்கள் பெரும்பாலும் DLL பக்க-ஏற்றுதல் போன்ற நன்கு சோதிக்கப்பட்ட செயல்படுத்தல் முறைகளுடன் இணைந்து சமூக ரீதியாக பொருத்தமான கவர்ச்சிகள் மூலம் அணுகலை அடைகின்றன. LOTUSLITE மிகவும் மேம்பட்ட ஏய்ப்பு அம்சங்களைக் கொண்டிருக்கவில்லை என்றாலும், அதன் நேரடியான கட்டளை-மற்றும்-கட்டுப்பாட்டு திறன்கள் மற்றும் நம்பகமான செயல்படுத்தல் ஓட்டம் நீண்ட கால உளவு பார்ப்பதற்கான நடைமுறை கருவியாக அமைகிறது.
புத்திசாலித்தனமான இலக்கு மற்றும் சூழல் ரீதியாக பொருத்தமான கவர்ச்சிகளுடன் இணைக்கப்படும்போது, குறிப்பாக அதிக மதிப்புள்ள நிறுவன நெட்வொர்க்குகளுக்கு எதிராக, எளிமையான, பழக்கமான நுட்பங்கள் கூட பயனுள்ளதாக இருக்கும் என்பதை இந்த பிரச்சாரம் நிரூபிக்கிறது.
