Группировка Mustang Panda обновляет бэкдор LOTUSLITE для атак на банковский сектор Индии

Инцидент примечателен не только сменой цели, но и техническими улучшениями в самой вредоносной программе. Обновлённый бэкдор, обозначенный как LOTUSLITE v1.1, сохранил свою основную функциональность для удалённого управления системой, но приобрёл ряд изменений, затрудняющих его обнаружение. В частности, злоумышленники перешли от использования скомпилированных HTML-файлов (CHM) к более сложной цепочке с применением JavaScript и техники подмены динамических библиотек (DLL sideloading). Это позволяет им скрывать исполнение вредоносного кода под видом легитимных процессов, подписанных цифровыми сертификатами, в данном случае - инструмента разработчика от Microsoft.

Исследовательское подразделение Acronis сообщило, что кампания была выявлена в марте текущего года. Первоначально жертва получала по электронной почте файл с расширением .CHM, замаскированный под запрос в техническую поддержку ("Request for Support.chm"). При открытии файла отображался всплывающий запрос, который, в случае согласия пользователя, инициировал загрузку и выполнение JavaScript-кода. Этот скрипт, в свою очередь, извлекал из архива CHM два файла: подписанный Microsoft исполняемый файл "Microsoft_DNX.exe" и вредоносную библиотеку DLL - обновлённый бэкдор LOTUSLITE. Далее срабатывал механизм подмены DLL: легитимная программа "Microsoft_DNX.exe" при запуске автоматически загружала одноимённую вредоносную библиотеку из своей рабочей директории, передавая ей управление.

Технический анализ новой версии бэкдора выявил ряд отличий от первоначального варианта, описанного ранее. Ключевые изменения коснулись структуры кода и механизмов противодействия анализу. Разработчики перешли от монолитной архитектуры к более модульной, выделив основную логику в отдельную экспортируемую функцию "HDFCBankMain", название которой прямо указывает на целевой банковский сектор. Для усложнения статического анализа все вызовы системных API-функций теперь разрешаются динамически во время выполнения, что позволяет избегать их явного импорта и "очищает" таблицу импорта библиотеки DLL.

Были обновлены и сетевые параметры взаимодействия с командным сервером (C2), включая "магическое число" - уникальный идентификатор в заголовке сетевых пакетов. Это простое изменение позволяет обойти детектирование, основанное на сигнатурах предыдущей версии. При этом ядро бэкдора, его набор команд для удалённого управления (удалённая оболочка, операции с файлами, управление сессией) и структура сетевого протокола остались прежними, что подтверждает прямое происхождение от исходного LOTUSLITE.

Не менее важными, чем технические усовершенствования, оказались операционные ошибки и характерные артефакты, оставленные злоумышленниками. В коде новой версии сохранился экспорт с именем "KugouMain", унаследованный от самой первой сборки бэкдора, что является чётким признаком общего происхождения. Кроме того, в одном из "заглушечных" экспортов обнаружилось сообщение "goldenjackel12" - отсылка к публичному аккаунту независитного исследователя угроз, активно отслеживающего деятельность Mustang Panda. Эта деталь, наряду с подобными находками в прошлом, указывает на характерную привычку разработчика оставлять подобные метки в коде.

Инфраструктура управления и контроля также демонстрирует преемственность. Сервер для управления заражёнными системами использовал динамический DNS-адрес от одного и того же провайдера (Dynu Systems), что и в предыдущих кампаниях, связанных с этим бэкдором. Географический и тематический разброс целей - от государственных структур США к банкам Индии, а также, как выяснилось в ходе расследования, к политическим и дипломатическим кругам Южной Кореи - свидетельствует о широких шпионских интересах группировки. Для южнокорейской кампании злоумышленники создали фиктивный почтовый аккаунт, impersonating видного эксперта по вопросам политики в отношении Корейского полуострова, и использовали Google Drive для доставки вредоносных архивов.

Совокупность доказательств - прямая преемственность кода, повторяющиеся ошибки в операционной безопасности, общие инфраструктурные паттерны и характерные поведенческие черты - позволяет исследователям с умеренной уверенностью атрибутировать данную деятельность кластеру, связанному с группировкой Mustang Panda. Этот случай наглядно показывает, как даже относительно простые с технической точки зрения инструменты, будучи постоянно поддерживаемыми и адаптируемыми под конкретные цели, остаются эффективными в руках целевых атакующих. Для специалистов по защите инцидент служит напоминанием о необходимости мониторинга не только сложных zero-day атак, но и эволюции уже известных семейств вредоносного ПО, особенно когда они меняют векторы атак и совершенствуют методы маскировки.

Domains

• editor.gleeze.com
• www.cosmosmusic.com

SHA256

• 18bc0e0f627d90fb283aa243055b46d0bfb5d85a7240d8f63ec2d1c8a2c15893
• 6d22d50634c2c2fc853bfd2b564e1837d51087aa684a9c4415634c8c13c44135
• 7beede15ecdc7d3f01db4b699e5fe5f4f2e7c79cd7ef0e918ed0583bf621de7d
• 9bf2f3b15a621789f898f9bd7710ba857e3f238a4937b64fdc47ef9a92e0b05d
• Af31ebe9085df408bedcf8f027fb60389897e5c8d3b0e9695fea29774f9d3aec
• cc0ff7e25ea686171919575916e2d9ebaeb5800a063f370a6980ea791f8851b8