LOTUSLITE Backdoor

安全研究人員發現了一場針對美國政府和政策機構的複雜惡意軟體攻擊活動，該活動利用時下熱門的政治話題來誘騙受害者。攻擊者將一個名為「美國正在決定委內瑞拉的下一步行動.zip」的ZIP壓縮包嵌入到旨在吸引關注近期美委關係動態的收件人的魚叉式網路釣魚郵件中。如果打開該壓縮包，它會透過DLL側加載技術植入名為LOTUSLITE的後門程式。 DLL側載入技術利用合法應用程式來隱藏惡意負載，從而逃避偵測。目前尚不清楚是否有任何目標受害者成功中招。

這次攻擊活動被初步認定為與中國官方有關聯的網路間諜組織「野馬熊貓」所為。這項認定基於以下幾點：攻擊策略和基礎設施特徵與先前該組織所採用的策略和基礎設施特徵重疊。 「野馬熊貓」以政治動機為目標，慣於使用側載攻擊而非漏洞進行初步入侵。

交付和執行機制

該惡意 ZIP 檔案包含一個誘餌可執行檔和一個動態連結庫，該庫透過 DLL 側載入啟動。 DLL 側載入是一種可靠的執行流程，其中良性進程會在無意中載入惡意程式庫。 Mustang Panda 在先前的行動中一直使用這種技術，包括推送像 TONESHELL 這樣的後門程式。

一旦執行，植入的 DLL（名為 kugou.dll）就會充當專為間諜活動而設計的客製化 C++ 後門。 LOTUSLITE 利用 Windows WinHTTP API 與其硬編碼的命令與控制 (C2) 伺服器建立連接，從而實現遠端命令和資料提取。

後門功能

LOTUSLITE 支援一系列核心操作，可實現遠端控制和偵察。這些操作包括：

• 透過產生和控制 CMD shell 來執行遠端命令
• 檔案系統交互，例如目錄枚舉、檔案建立和資料追加
• 信標狀態管理，用於控制與 C2 的通訊。

以下是LOTUSLITE支援的完整命令集：

• 0x0A：啟動遠端 CMD shell
• 0x0B：終止遠端 shell
• 0x01：透過 shell 發送指令
• 0x06：重置信標狀態
• 0x03：枚舉文件

• 0x0D：建立空文件

• 0x0E：將資料追加到文件

• 0x0F：檢索信標狀態

LOTUSLITE 也透過修改 Windows 登錄設定來確保持久性，以便在每次使用者登入時自動執行。

行為特徵和操作重點

安全分析師觀察到，LOTUSLITE 的行為與 Mustang Panda 先前部署的工具（例如 Claimloader）非常相似，尤其是在嵌入誘導性訊息字串方面，這些字串有助於進行社會工程攻擊。 Claimloader 本身就是一個 DLL 載入器，曾用於在早期的攻擊活動中部署其他 Mustang Panda 有效載荷，例如 PUBLOAD。

這項行動凸顯了定向魚叉式網路釣魚攻擊的一個更廣泛趨勢：進階持續性威脅組織不再依賴複雜的零日漏洞，而是經常利用與社會相關的誘餌，結合經過充分驗證的執行方法（例如 DLL 側加載）來獲取存取權限。儘管 LOTUSLITE 缺乏高度先進的規避功能，但其簡單易用的命令與控制功能以及可靠的執行流程使其成為長期間諜活動的實用工具。

該活動表明，即使是簡單、熟悉的技巧，如果與智慧定位和與情境相關的誘餌相結合，也能保持有效，尤其是在針對高價值機構網路時。