LOTUSLITE Arka Kapı
Güvenlik araştırmacıları, ABD hükümeti ve politika kurumlarını hedef alan ve kurbanları cezbetmek için güncel siyasi temaları kullanan karmaşık bir kötü amaçlı yazılım kampanyasını ortaya çıkardı. Tehdit aktörleri, son ABD-Venezuela gelişmelerinden endişe duyan alıcılara hitap etmek üzere tasarlanmış hedefli kimlik avı mesajlarına 'ABD şimdi Venezuela için sırada ne olduğuna karar veriyor.zip' başlıklı bir ZIP arşivi yerleştirdi. Açıldığında, bu arşiv, kötü amaçlı yazılımları gizlemek ve tespit edilmekten kaçınmak için meşru uygulamaları kullanan bir yöntem olan DLL yan yüklemesi yoluyla LOTUSLITE olarak bilinen bir arka kapı yazılımı yüklüyor. Hedeflenen kurbanlardan herhangi birinin başarılı bir şekilde ele geçirilip geçirilmediği henüz net değil.
Kampanyanın, devlet bağlantılı Çin siber casusluk grubu Mustang Panda'ya orta düzeyde bir güvenle atfedildiği belirtiliyor. Bu atıf, daha önce bu grupla ilişkilendirilen ve siyasi güdümlü hedefleme ve istismara dayalı ilk erişim yerine yan yüklemeyi tercih etmesiyle bilinen, örtüşen taktiksel yaklaşımlara ve altyapı izlerine dayanmaktadır.
İçindekiler
Teslimat ve Uygulama Mekanizması
Zararlı ZIP dosyası, sahte bir yürütülebilir dosya ve DLL yan yüklemesi yoluyla başlatılan dinamik bağlantı kütüphanesi içerir; bu, iyi niyetli bir işlemin yanlışlıkla zararlı bir kütüphaneyi yüklediği güvenilir bir yürütme akışıdır. Mustang Panda, TONESHELL gibi arka kapıları yaymak da dahil olmak üzere önceki operasyonlarında bu tekniği sürekli olarak kullanmıştır.
Çalıştırıldıktan sonra, yerleştirilen DLL (kugou.dll olarak adlandırılır) casusluk görevleri için tasarlanmış özel bir C++ arka kapısı görevi görür. LOTUSLITE, Windows WinHTTP API'sini kullanarak önceden tanımlanmış Komuta ve Kontrol (C2) sunucusuna bağlantı kurar ve uzaktan komutlar ile veri çıkarma olanağı sağlar.
Arka Kapı Yetenekleri
LOTUSLITE, uzaktan kontrol ve keşif işlemlerini kolaylaştıran bir dizi temel işlemi destekler. Bunlar şunlardır:
- CMD kabuğunu başlatarak ve kontrol ederek uzaktan komut yürütme.
- Dosya sistemi etkileşimleri, örneğin dizin numaralandırma, dosya oluşturma ve veri ekleme.
- C2 ile iletişimi kontrol eden işaretçi durum yönetimi.
İşte LOTUSLITE tarafından desteklenen tüm komut seti:
- 0x0A: Uzaktan CMD kabuğunu başlat
- 0x0B: Uzaktan kabuğu sonlandır
- 0x01: Komutları kabuk üzerinden gönder
- 0x06: İşaret durumunu sıfırla
- 0x03: Dosyaları listele
- 0x0D: Boş dosya oluştur
- 0x0E: Dosyaya veri ekle
- 0x0F: İşaretçi durumunu al
LOTUSLITE ayrıca, Windows Kayıt Defteri ayarlarını değiştirerek her kullanıcı oturum açtığında otomatik olarak çalıştırılmasını sağlayarak kalıcılığı da garanti eder.
Davranışsal Özellikler ve Operasyonel Odaklanma
Güvenlik analistleri, LOTUSLITE'ın Mustang Panda tarafından daha önce kullanılan Claimloader gibi araçlarla davranışsal benzerlikler gösterdiğini, özellikle sosyal mühendislik çabalarını destekleyen kışkırtıcı mesaj dizeleri içerdiğini gözlemledi. Claimloader'ın kendisi de, önceki kampanyalarda PUBLOAD gibi diğer Mustang Panda zararlı yazılımlarını dağıtmak için kullanılan bir DLL yükleyicisidir.
Bu operasyon, hedefli oltalama saldırılarındaki daha geniş bir eğilimi vurguluyor: Gelişmiş kalıcı tehdit grupları, karmaşık sıfır gün açıklarından yararlanmak yerine, genellikle DLL yan yükleme gibi iyi test edilmiş yürütme yöntemleriyle birleştirilmiş sosyal açıdan önemli yemler aracılığıyla erişim sağlıyor. LOTUSLITE, son derece gelişmiş kaçınma özelliklerinden yoksun olsa da, basit Komuta ve Kontrol yetenekleri ve güvenilir yürütme akışı, onu uzun vadeli casusluk için pratik bir araç haline getiriyor.
Kampanya, akıllı hedefleme ve bağlamsal olarak uygun yemlerle birleştirildiğinde, özellikle yüksek değerli kurumsal ağlara karşı, basit ve bilindik tekniklerin bile etkili kalabileceğini göstermektedir.
