Исследователи безопасности обнаружили новую версию вредоносной программы LotusLite, которая представляет собой бэкдор с широкими возможностями. Вредонос нацелен на организации банковского сектора и государственные структуры. Распространение происходит через фишинговые письма с вложением ZIP-архива под названием Conference_invitation. Внутри архива находится легитимный загрузчик и вредоносная DLL, которая имитирует библиотеку AMPV.dll, используемую в программном обеспечении Samsung Series.
Описание
Заражение начинается с запуска сброшенного файла через экспорт функции AMPVIncrement. Эта функция создаёт каталог C:\ProgramData\SmartPrint\ и копирует в него исполняемый файл SmartPrintScreen.exe, который является копией самого дроппера. Затем в реестр добавляется запись автозагрузки в ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Run с именем DadaBank, указывающая на скопированный файл с аргументом --DaDaBar. После этого пользователю показывается сообщение об ошибке: "Error: The Pdf file is corrupted. Please restart your computer and try again, or contact the original author." Такая маскировка рассчитана на то, чтобы жертва поверила, что она пыталась открыть повреждённый PDF-файл.
При запуске агент проверяет наличие мьютекса с именем BelievemeIamMustang-Panda, чтобы убедиться, что работает только один экземпляр. Затем он проверяет собственный путь выполнения и наличие аргумента --DaDaBar. Если оба условия соблюдены, программа собирает имя пользователя и имя компьютера в строку вида [USERNAME]|[COMPUTERNAME] и отправляет её на управляющий сервер. Связь происходит с частотой каждые 0,5 секунды, что делает данный бэкдор довольно заметным в сетевом трафике.
Для коммуникации используется HTTP-протокол с поддельными заголовками, имитирующими запрос к forms.microsoft.com. Реальный сервер управления находится по адресу 103.79.77[.]181 в Сингапуре. Перед отправкой данных клиент отключает проверку сертификатов TLS, чтобы избежать предупреждений. Формат сообщения включает магическое число 0xB2EBCFDF, длину команды и данные. После приёма пакета сервер отправляет команды, среди которых: запись в стандартный поток cmd.exe, получение списка каталогов, завершение сессии, создание скрытого процесса cmd.exe с перенаправлением ввода-вывода, завершение этого процесса, смена текущего каталога и запись произвольного файла. Таким образом, злоумышленники получают полный удалённый доступ к системе.
Вредонос оснащён механизмами защиты от анализа. Все критически важные API, включая функции WinINet, kernel32 и библиотеки оболочки, разрешаются динамически через обход структуры PEB. Единственный статический импорт - GetModuleHandleA из ntdll.dll. Строки шифруются и расшифровываются во время выполнения, что затрудняет сигнатурное обнаружение.
Опубликованный анализ показал, что текущая версия (v6) имеет много общего с предыдущими вариантами LotusLite, которые связывают с группировкой MustangPanda. Однако есть несколько аномалий. Во-первых, в самом коде встречаются открытые упоминания "MustangPanda" - например, в мьютексе и строке "Hi,Mustang_Panda". Для реальных APT-группировок такое поведение нетипично, поскольку они обычно стараются избегать саморекламы. Во-вторых, при сравнении версий v5 и v6 исследователи не нашли совпадений в коде, хотя предыдущие итерации имели значительное пересечение функций. Кроме того, размер бинарного файла уменьшился с 350 КБ до 260 КБ, что нетипично для обновления. Обновление от 28 мая (версия v7) добавило новые строки, включая оскорбительную фразу "***-China-because-China-****", и изменило API-путь на /info/faq/v7. При этом между v6 и v7 обнаружилось частичное совпадение кода, что указывает на активную разработку.
Эти признаки заставляют исследователей усомниться в прямой атрибуции атаки группировке MustangPanda. Возможно, автор вредоноса намеренно использует ложные флаги, чтобы запутать следствие, либо скопировал код LotusLite после его публичного разбора. Другая гипотеза - разработчик негативно реагирует на ассоциацию с MustangPanda и демонстративно вставляет оскорбления в код.
Для организаций атака несёт серьёзные риски. После установки агент позволяет выполнять любые команды, похищать файлы и оставаться незамеченным в системе длительное время. Фишинговая рассылка с геополитической тематикой, скорее всего, нацелена на конкретные категории сотрудников, работающих с международными контактами. Рекомендуется усилить фильтрацию входящих писем, особенно архивов с .scr и .dll, а также настроить мониторинг вызовов к процессам cmd.exe с аргументами --DaDaBar и аномальной частотой сетевых запросов к нестандартным путям типа /info/faq/v6. Современные средства защиты на основе поведенческого анализа способны блокировать такие попытки.
Исследователи продолжают мониторинг новых версий и призывают сообщество обращать внимание на несоответствия в атрибуции, чтобы не делать поспешных выводов о конкретном источнике угрозы.
Индикаторы компрометации
SHA256
- 0312e58fec7c03fdaad929333743be36d77fceaf394ebb42a3110ff0269a9448
- 15b0f927bb43c6e3b9b002cbeac2faf6975e52503c32f039c8c4ecf6be600fdd
- 2c34b47ee7d271326cfff9701377277b05ec4654753b31c89be622e80d225250
- 2c69daf837b446ab8ea41d0aba93ad027003cc51f7e5e630a159fd9ee25cf81e
- 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653
- 6cd52ea299e99e3cf4a175b83a35b5a2516ce44a2c3c43b9d7a152753258998c
- 8dd7d6472771db5b82cfc87adcb03b303fcd8f16462700ce6ff63f3d935348d9
- c5c667c3e74cd063043e444bd9d9239adac4d31ac047361122267b77043c3581
- e6854b335712f3759a41dae446f815c3e5a888e228a1d1601551d8f3b5af1d8b
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | rule NotMustangPanda_LotusLite { meta: description = "LotusLite implant" sha256 = "47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653" date = "2026-06-03" author = "Heurs" strings: $pattern_1 = { DF CF EB B2 } $pattern_2 = /\/info\/faq\/v[1-9]/ wide $pattern_3 = "x-ms-cpim-geo" wide $pattern_4 = "Bankofchinaunionpaycard" ascii condition: uint16(0) == 0x5A4D and (2 of ($pattern_*)) } |