新たに発見されたサイバースパイキャンペーンが、更新されたLOTUSLITEバックドアのバージョンを使用してインドの銀行セクターを積極的に標的にしています。
Acronis脅威研究ユニット(TRU)の最近の調査結果によると、この作戦はマルウェアの以前の政府機関への焦点から外れており、攻撃者の目的の転換を示唆しています。
研究者らは、共有されたコード、インフラストラクチャ、および作戦パターンに基づいて、このキャンペーンをよく知られた高度な持続的脅威(APT)グループであるMustang Pandaに中程度の信頼度で帰属させています。
攻撃は、通常のITサポートチケットに見せかけた、巧みに「Request for Support.chm」と名付けられたコンパイルされたHTML(CHM)ファイルを含むスピアフィッシングメールで開始されます。
この命名規則は、企業および銀行環境の従業員をファイルを開くようにだましするために特別に設計されています。ファイルを開くと、バックグラウンドでリモートサーバーからJavaScriptファイルをダウンロードしながら、悪意のあるポップアップが表示されます。
このスクリプトは、被害者のマシン上に正当なマイクロソフト署名付き実行可能ファイルと隠された悪意のあるペイロードを抽出することで、攻撃の次の段階をオーケストレーションします。
セキュリティソフトウェアを回避するために、攻撃者はDLLサイドロードとして知られている手法に依存しています。スクリプトはMicrosoft_DNX.exeという正当な開発者ツールを抽出します。
この実行可能ファイルは有効なマイクロソフトデジタル署名を持っているため、通常はセキュリティ製品によって信頼され、アラームをトリガーしません。しかし、このより古いツールには欠陥があります。それはサポートするDLLファイルを名前で読み込みますが、その真正性または正確な場所を確認しません。
攻撃者はこれを悪用して、独自の悪意のあるDLL(LOTUSLITEバックドア)を同じフォルダに配置します。マイクロソフトのバイナリが実行されると、無意識にマルウェアが読み込まれ、攻撃者にシステムへのステルスアクセスを与えます。
この最新のキャンペーンでは、開発者はLOTUSLITEをより検出しにくくするためのいくつかのアップデートを導入しました。
マルウェアは16個の代わりに22個のエクスポート関数を使用するようになり、メインエントリーポイントは「HDFCBankMain」という新しい関数を通してルーティングされるように更新されており、インドの主要金融機関を直接参照しています。
開発者はAcronis回避戦術を改善するために大きな努力をしましたが、研究者が関連性を認識できるようにする複数の作戦セキュリティの誤りも犯しました。
インドの銀行セクター向けにマルウェアを更新したにもかかわらず、攻撃者は古いコードの残骸を削除するのを忘れていました。彼らは「KugouMain」という関数を残しました。これは、Tencentミュージックアプリケーションをサイドロードに使用した以前のキャンペーンからの遺物です。
さらに、マルウェアは以前の攻撃で使用されたのと同じ動的DNSプロバイダーとの通信を続けており、防御者がそのインフラストラクチャを追跡しやすくしています。
開発者は、彼らの活動を追跡する独立したセキュリティ研究者を嘲笑するポップアップメッセージを含めました。これは、彼らが監視されていることを認識していることを強調しています。
翻訳元: https://cyberpress.org/microsoft-binary-drops-lotuslite/