Admin
Администратор
Ретро-хакинг на максималках. Почему ваша корпоративная сеть до сих пор думает, что на дворе девяностые.
Тема международной ситуации в Венесуэле послужила идеальной ширмой для атак.
Целевая кампания по кибершпионажу, направленная против правительственных структур США, была выявлена специалистами подразделения Acronis Threat Research Unit. Вредоносная активность осуществлялась с использованием архива в формате ZIP, содержащего исполняемый файл и скрытую библиотеку DLL. Распаковка архива инициировала выполнение DLL, которая функционировала как основной удалённый доступ под названием LOTUSLITE.
Распространение вредоносного инструмента происходило через файл с политическим названием, связанным с ситуацией в Венесуэле. Это совпадает с привычной для китайской кибергруппы Mustang Panda тактикой, ориентированной на актуальные международные повестки. Заражение начиналось с запуска подменённого исполняемого файла, маскирующегося под легитимное программное обеспечение, что приводило к незаметной загрузке вредоносной библиотеки.
Загруженный компонент представлял собой нестандартную DLL, предназначенную для сбора информации, организации постоянного присутствия в системе и выполнения команд злоумышленников. Программа поддерживает выполнение системных команд, создание и удаление файлов, а также формирует сетевые пакеты с использованием уникального идентификатора. При этом передача данных осуществлялась через HTTP-запросы с поддельными заголовками, имитирующими трафик от легитимных сервисов.
Компонент сохранял устойчивость на заражённом устройстве, создавая отдельный каталог и внося запись в реестр для автозапуска при входе пользователя в систему. Имя исполняемого файла и параметры запуска были изменены для маскировки под безвредное программное обеспечение.
Во время анализа вредоносной библиотеки специалисты обнаружили встроенные сообщения, оставленные разработчиком. В одном из них автор подчёркивал, что не имеет отношения к России, используя фразу в духе «я не русский». В другом сообщении, напротив, подчёркивалась китайская идентичность. Подобные провокационные вставки уже встречались в прошлых кампаниях Mustang Panda.
Коммуникация с командным сервером осуществлялась через IP-адрес, привязанный к американскому провайдеру, предоставляющему услуги динамического DNS. Устройства заражённых систем обращались к этому серверу через зашифрованный HTTPS-трафик, что затрудняло выявление угрозы на уровне сетевого мониторинга.
По совокупности поведенческих признаков, методов доставки, структуры компонентов и сопутствующей инфраструктуры, специалисты связывают эту активность с Mustang Panda. Ранее группа уже применяла аналогичные подходы, включая DLL-загрузку через легитимные программы, использование политически окрашенных тем и повторное использование элементов инфраструктуры. Несмотря на скромный технический уровень внедрённого кода, методика обеспечивает высокую надёжность исполнения и точечное поражение целей.
Кампания остаётся ограниченной по масштабу, но нацелена исключительно на структуры, связанные с политикой и управлением в США. Это делает её потенциально значимой с точки зрения стратегических рисков. Вредоносная активность была успешно выявлена и заблокирована средствами защиты Acronis.
