Исследователи из Acronis Threat Research Unit (TRU) обнаружили целенаправленную вредоносную кампанию против государственных организаций США. Злоумышленники используют архив ZIP с политическим подтекстом, содержащий загрузчик и вредоносную DLL-библиотеку. Эта библиотека функционирует как основной бэкдор, получивший название LOTUSLITE.
Описание
Кампания отражает продолжающийся тренд на целевой spear-phishing с использованием геополитических приманок. Атакующие предпочитают надежные техники выполнения, такие как подмена DLL (DLL sideloading), вместо уязвимостей для первоначального доступа. Наблюдаемые цели ограничены правительственными и политическими структурами США, что указывает на сфокусированный набор жертв. Масштаб атак кажется ограниченным, однако характер целей увеличивает потенциальный стратегический ущерб.
Технические детали атаки
Исследование началось с обнаружения фишингового архива с названием "US now deciding what’s next for Venezuela.zip". В архиве находился легитимный исполняемый файл и скрытая DLL, что часто ассоциируется с методами группировки Mustang Panda. При запуске бинарного файла происходит подмена и загрузка вредоносной библиотеки kugou.dll. Загрузчик, переименованный в "Maduro to be taken to New York.exe", явно загружает эту DLL с помощью функции LoadLibraryW.
Библиотека kugou.dll действует как бэкдор LOTUSLITE. Ее основная цель - обеспечить доступ злоумышленнику к системе и выполнение команд. Хотя файл имеет несколько экспортируемых функций, ключевая функция DataImporterMain отвечает за вредоносную активность.
Функционал бэкдора LOTUSLITE
Имплант написан на C++ и демонстрирует средний уровень развития. Он общается с жестко заданным IP-адресом командного сервера (C2) и поддерживает базовые задачи для удаленного управления и эксфильтрации данных. Его набор возможностей ориентирован на шпионаж, а не на финансовые цели.
Первоначально бэкдор выполняет базовое перечисление, получая имя компьютера и имя пользователя. Затем он может выполнять ряд инструкций. Первая возможность - создание интерактивной командной оболочки cmd.exe с перенаправленным вводом-выводом, что позволяет выполнять команды и получать результаты в реальном времени. Кроме того, бэкдор может завершить этот процесс, перечислить файлы в каталогах, выполнять различные файловые операции и проверять статус своего подключения к C2.
Установление и поддержание доступа
Для обеспечения постоянства (persistence) имплант создает каталог в системе, переименовывает загрузчик и создает запись в реестре в разделе автозагрузки текущего пользователя. Это классическая техника для автоматического запуска при каждом входе в систему.
Для командного управления имплант использует WinHTTP API Windows, маскируя трафик под легитимный веб-запрос. Он применяет длинные таймауты, использует строку User-Agent Googlebot и устанавливает заголовки, имитирующие обращение к домену Microsoft. В теле POST-запроса используется специальный маркер (magic-ID header) для идентификации.
Артефакты инфраструктуры и сообщения
Образцы взаимодействовали с C2-сервером по IP-адресу 172[.]81[.]60[.]97. Инфраструктура расположена в Финиксе, Аризона, и использует порт 443 для маскировки под HTTPS-трафик.
Интересной деталью являются сообщения, встроенные в экспортируемые функции DLL. Одна функция содержит текст, дистанцирующий автора от российского происхождения, а другая включает явное утверждение о китайской идентичности.
Уверенная атрибуция Mustang Panda
Исследователи с умеренной уверенностью атрибутируют эту кампанию группе Mustang Panda. Это оценка основана на нескольких независимых аналитических линиях. Во-первых, используется схожая техника с загрузочным исполняемым файлом. Анализ показал связь с архивом, содержащим файл "ASEAN Leaders Meeting.exe", который ранее использовался Mustang Panda.
Кроме того, поведение импланта LOTUSLITE, включая внедрение провокационных сообщений, имитирует приемы, наблюдавшиеся в других кампаниях этой группы. Совпадение методов, тактик и процедур (TTP), а также стиля доставки и использования инфраструктуры, позволяет отнести эту активность к кластеру Mustang Panda. Эта группа известна операциями, связанными с текущими геополитическими событиями, и предпочитает техники средней сложности, такие как подмена DLL.
Заключение
Данная кампания демонстрирует, что простые и хорошо отработанные техники остаются эффективными в сочетании с целенаправленной доставкой и актуальными политическими приманками. Несмотря на отсутствие продвинутых функций скрытности, бэкдор LOTUSLITE полагается на надежность выполнения и базовый функционал C2. Это указывает на стремление к операционной стабильности, а не к технической изощренности. Активность служит напоминанием о постоянной угрозе целевых атак на государственные организации со стороны опытных группировок.
Индикаторы компрометации
IPv4
- 172.81.60.87
SHA256
- 2c34b47ee7d271326cfff9701377277b05ec4654753b31c89be622e80d225250
- 819f586ca65395bdd191a21e9b4f3281159f9826e4de0e908277518dba809e5b
Mutex
- Global\Technology360-A@P@T-Team
