米国の政府機関を綿密に狙って組織された高度なサイバー諜報攻勢が、Acronis Threat Research Unitによって発見されました。この敵対的作戦では、偽装された実行ファイルと秘匿されたライブラリを含むZIPアーカイブが悪用されました。展開後、アーカイブはDLLサイドローディングの手口を起動し、LOTUSLITEと特定された主要なリモートアクセス型トロイの木馬(RAT)の展開を可能にしました。
この悪意あるツールの拡散は、ベネズエラの地政学的情勢に関する政治色の強い名称を冠したファイルによって促進されました。この戦術は、現代の国際的アジェンダをしばしば悪用する中国系の脅威集団Mustang Pandaの確立された手法と完全に一致します。感染の連鎖は、正規の ソフトウェアを装った改ざん済み実行ファイルの起動から始まり、悪性ライブラリが密かに読み込まれる結果となりました。
流出(展開)されたコンポーネントは、偵察のために設計された特注のDLLであり、ホスト環境内で永続的な支配を確立し、コマンド&コントロール(C2)の指示を実行します。このソフトウェアは、システムコマンドの実行、ファイル操作、固有の識別子を用いたネットワークパケット生成をサポートします。データの持ち出しは、正規サービスのトラフィックを模倣し、ヒューリスティック検知を回避するよう設計された偽装ヘッダー付きのHTTPリクエストを介して行われました。
このインプラントは、専用ディレクトリを生成し、ユーザーログイン時に自律的に実行されるようレジストリエントリを作成することで、侵害端末上での常駐を維持しました。さらに存在を隠蔽するため、実行ファイルの名称と起動パラメータが、無害なソフトウェアを装うよう改変されていました。
ライブラリのフォレンジック解析の過程で、調査員は開発者に帰属するとみられる埋め込みメッセージを発見しました。ある例では作者がロシアとの関係を否定しており、別のメッセージでは中国人としてのアイデンティティが強調されていました。こうした挑発的な挿入は、過去のMustang Pandaキャンペーンでも特徴として見られます。
コマンド&コントロール基盤との通信は、米国のダイナミックDNSプロバイダに関連付けられたIPアドレスへ向けられていました。侵害システムは暗号化されたHTTPSトラフィックを介してこのサーバーと通信しており、これはネットワーク監視を妨げ、脅威を隠蔽することを意図した戦術です。
挙動のシグネチャ、配布メカニズム、使用されたインフラを踏まえ、専門家はこの活動をMustang Pandaに明確に結び付けています。同集団は歴史的に、正規バイナリを介したDLLサイドローディングや、政治的に敏感なテーマの悪用など、同様の手法を用いてきました。コードの技術的複雑性は控えめである一方、その方法論は高い信頼性と精密な標的化を確保します。規模は限定的ながら、このキャンペーンは米国の政策および統治に関係する組織のみを排他的に狙っており、重大な戦略的リスクを示しています。この悪意ある活動はAcronisの防御ソリューションによって特定され、無力化されました。
翻訳元: https://meterpreter.org/the-lotus-trap-mustang-panda-targets-us-government-via-lotuslite-malware/
