Neposredno nakon visokoprofilne američke vojne operacije hapšenja bivšeg predsjednika Venezuele, Nicolása Madura, hakeri pod pokroviteljstvom kineske države nisu gubili vrijeme. Otkrivena je sofisticirana phishing kampanja koja cilja vladine agencije SAD-a i organizacije povezane s kreiranjem politike, koristeći globalni interes za političku budućnost Venezuele.
Pravovremena zamka
Samo nekoliko dana nakon Madurovog hapšenja, na platformi VirusTotal pojavila se zlonamjerna ZIP datoteka pod nazivom “SAD sada odlučuje o daljim koracima za Venezuelu”. Prema istraživačima iz Acronis Threat Research Unit, datoteka je bila pažljivo osmišljen mamac dizajniran da privuče političke eksperte i vladine zvaničnike.
Umjesto diplomatskih uvida, paket je sadržavao:
- Legitimni izvršni pokretač (launcher) muzičkog servisa Kugou (u vlasništvu kompanije Tencent).
- Skrivenu, zlonamjernu DLL datoteku.
- Potpuno novi, prilagođeni C++ backdoor nazvan Lotuslite.
Tehnička analiza: Backdoor Lotuslite
Napad je koristio tehniku poznatu kao DLL sideloading. Korištenjem povjerljivog, preimenovanog binarnog koda poznate kompanije kao što je Tencent, hakeri su uspjeli zaobići standardne sigurnosne potpise.
Kada žrtva otvori datoteku, Lotuslite uspostavlja tihu vezu sa serverom za upravljanje i kontrolu. To napadačima omogućava:
- Održavanje stalnog prisustva na zaraženom računaru.
- Krađu osjetljivih podataka iz okruženja organizacije.
- Izvršavanje zadataka “beaconinga” kako bi signalizirali spremnost za dalja uputstva.
Identifikacija počinitelja
Stručnjaci za sigurnost su kampanju s “umjerenim povjerenjem” pripisali grupi koju podržava Peking, poznatoj kao Mustang Panda (također praćena kao UNC6384 ili Twill Typhoon). Ova grupa je ozloglašena po svom oportunističkom pristupu, brzo prilagođavajući svoju infrastrukturu aktuelnim globalnim vijestima.
Iako Acronis nije potvrdio da li je neka američka agencija uspješno kompromitovana, preciznost napada ukazuje na visoko selektivnu strategiju ciljanja, a ne na nasumični napad širokih razmjera.
Komentari