LOTUSLITE แบ็คดอร์

นักวิจัยด้านความปลอดภัยได้ค้นพบแคมเปญมัลแวร์ที่ซับซ้อนซึ่งมุ่งเป้าไปที่รัฐบาลและสถาบันนโยบายของสหรัฐฯ โดยใช้ประเด็นทางการเมืองที่กำลังเป็นที่สนใจเพื่อล่อลวงเหยื่อ ผู้ก่อภัยคุกคามได้ฝังไฟล์ ZIP ที่มีชื่อว่า 'US now deciding what's next for Venezuela.zip' ลงในข้อความฟิชชิ่งแบบเจาะจงเป้าหมาย ซึ่งออกแบบมาเพื่อดึงดูดผู้รับที่กังวลเกี่ยวกับสถานการณ์ล่าสุดระหว่างสหรัฐฯ และเวเนซุเอลา หากเปิดไฟล์นี้ จะพบแบ็กดอร์ที่เรียกว่า LOTUSLITE ผ่านการโหลด DLL ซึ่งเป็นวิธีการที่ใช้แอปพลิเคชันที่ถูกต้องตามกฎหมายเพื่อซ่อนมัลแวร์และหลีกเลี่ยงการตรวจจับ ยังไม่เป็นที่แน่ชัดว่ามีเหยื่อรายใดถูกโจมตีสำเร็จหรือไม่

มีการระบุอย่างมั่นใจในระดับปานกลางว่ากลุ่มจารกรรมทางไซเบอร์ Mustang Panda ซึ่งมีความเชื่อมโยงกับรัฐบาลจีน เป็นผู้ลงมือโจมตี โดยการระบุนี้อิงจากวิธีการทางยุทธวิธีและโครงสร้างพื้นฐานที่ซ้ำซ้อนกัน ซึ่งก่อนหน้านี้เคยเชื่อมโยงกับกลุ่มนี้มาก่อน กลุ่มนี้เป็นที่รู้จักกันดีในเรื่องการกำหนดเป้าหมายทางการเมืองและการนิยมใช้การติดตั้งมัลแวร์จากแหล่งภายนอกมากกว่าการเข้าถึงระบบโดยใช้ช่องโหว่

กลไกการส่งมอบและการดำเนินการ

ไฟล์ ZIP ที่เป็นอันตรายนี้ประกอบด้วยไฟล์ปฏิบัติการล่อลวงและไลบรารีแบบไดนามิกที่ถูกเรียกใช้งานผ่านการโหลด DLL ด้านข้าง ซึ่งเป็นกระบวนการทำงานที่เชื่อถือได้ โดยที่กระบวนการที่ไม่เป็นอันตรายจะโหลดไลบรารีที่เป็นอันตรายโดยไม่ตั้งใจ Mustang Panda ใช้เทคนิคนี้อย่างต่อเนื่องในการปฏิบัติการก่อนหน้านี้ รวมถึงการปล่อยแบ็กดอร์อย่าง TONESHELL ด้วย

เมื่อถูกเรียกใช้งาน DLL ที่ถูกฝังไว้ (ชื่อ kugou.dll) จะทำหน้าที่เป็นแบ็กดอร์ C++ แบบกำหนดเองที่ออกแบบมาเพื่อภารกิจสอดแนม LOTUSLITE จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ที่ถูกกำหนดไว้ล่วงหน้าโดยใช้ประโยชน์จาก Windows WinHTTP API ซึ่งช่วยให้สามารถสั่งการจากระยะไกลและดึงข้อมูลได้

ความสามารถช่องทางลับ

LOTUSLITE รองรับชุดการทำงานหลักที่ช่วยอำนวยความสะดวกในการควบคุมและสอดแนมจากระยะไกล ซึ่งได้แก่:

• การเรียกใช้คำสั่งจากระยะไกลผ่านการสร้างและควบคุมเชลล์ CMD
• ปฏิสัมพันธ์กับระบบไฟล์ เช่น การแสดงรายการในไดเร็กทอรี การสร้างไฟล์ และการเพิ่มข้อมูลลงในไฟล์
• การจัดการสถานะบีคอน ซึ่งควบคุมการสื่อสารกับ C2

ต่อไปนี้คือชุดคำสั่งทั้งหมดที่ LOTUSLITE รองรับ:

• 0x0A: เริ่มต้นใช้งานเชลล์ CMD ระยะไกล
• 0x0B: ยุติการทำงานของรีโมตเชลล์
• 0x01: ส่งคำสั่งผ่านเชลล์
• 0x06: รีเซ็ตสถานะบีคอน
• 0x03: แสดงรายการไฟล์

• 0x0D: สร้างไฟล์เปล่า

• 0x0E: เพิ่มข้อมูลลงในไฟล์

• 0x0F: ดึงสถานะบีคอน

นอกจากนี้ LOTUSLITE ยังช่วยให้โปรแกรมทำงานได้อย่างต่อเนื่องโดยการแก้ไขการตั้งค่าใน Windows Registry เพื่อให้โปรแกรมทำงานโดยอัตโนมัติทุกครั้งที่ผู้ใช้เข้าสู่ระบบ

ลักษณะพฤติกรรมและจุดเน้นในการปฏิบัติงาน

นักวิเคราะห์ด้านความปลอดภัยสังเกตว่า LOTUSLITE มีพฤติกรรมคล้ายคลึงกับเครื่องมือรุ่นก่อนๆ ที่ Mustang Panda เคยใช้ เช่น Claimloader โดยเฉพาะอย่างยิ่งการฝังข้อความที่ยั่วยุซึ่งสนับสนุนความพยายามในการหลอกลวงทางสังคม Claimloader เองก็เป็นโปรแกรมโหลด DLL ที่ใช้ในการติดตั้งเพย์โหลดอื่นๆ ของ Mustang Panda เช่น PUBLOAD ในแคมเปญก่อนหน้านี้

ปฏิบัติการนี้เน้นย้ำถึงแนวโน้มที่กว้างขึ้นในการโจมตีแบบสเปียร์ฟิชชิ่งแบบเจาะจงเป้าหมาย: แทนที่จะพึ่งพาช่องโหว่ซีโร่เดย์ที่ซับซ้อน กลุ่มภัยคุกคามขั้นสูงมักจะเข้าถึงระบบได้โดยใช้เหยื่อล่อที่เกี่ยวข้องกับสังคมร่วมกับวิธีการดำเนินการที่ผ่านการทดสอบมาอย่างดี เช่น การโหลด DLL เข้าไป แม้ว่า LOTUSLITE จะขาดคุณสมบัติการหลบเลี่ยงขั้นสูง แต่ความสามารถในการควบคุมและสั่งการที่ตรงไปตรงมาและขั้นตอนการทำงานที่เชื่อถือได้ ทำให้มันเป็นเครื่องมือที่ใช้งานได้จริงสำหรับการจารกรรมในระยะยาว

แคมเปญนี้แสดงให้เห็นว่าแม้แต่เทคนิคที่เรียบง่ายและคุ้นเคยก็ยังคงมีประสิทธิภาพเมื่อนำมาใช้ร่วมกับการกำหนดเป้าหมายอย่างชาญฉลาดและสิ่งล่อใจที่เกี่ยวข้องกับบริบท โดยเฉพาะอย่างยิ่งกับเครือข่ายสถาบันที่มีมูลค่าสูง