LOTUSLITE バックドア
セキュリティ研究者らは、米国政府および政策機関を標的とした高度なマルウェア攻撃キャンペーンを発見しました。このキャンペーンは、時宜を得た政治的テーマを用いて被害者を誘い込むものです。攻撃者は、「US now determination what's next for Venezuela.zip」というタイトルのZIPアーカイブを、米国とベネズエラの最近の情勢に関心を持つ受信者を狙ったスピアフィッシングメッセージに埋め込みました。このアーカイブを開くと、DLLサイドローディングを介してLOTUSLITEと呼ばれるバックドアが侵入します。DLLサイドローディングとは、正規アプリケーションを利用して悪意のあるペイロードを隠蔽し、検出を回避する手法です。標的となった被害者が実際に侵入に成功したかどうかは、依然として不明です。
この攻撃は、中程度の確度で、国家と繋がりのある中国のサイバースパイ集団「ムスタン・パンダ」によるものとされています。この特定は、政治的動機に基づく標的攻撃と、エクスプロイトベースの初期アクセスよりもサイドローディングを優先することで知られるこの集団と、以前から関連付けられてきた戦術的アプローチとインフラ基盤の重複に基づいています。
目次
配信と実行のメカニズム
悪意のあるZIPファイルには、おとりの実行ファイルとダイナミックリンクライブラリが含まれており、DLLサイドローディングによって起動されます。DLLサイドローディングとは、安全なプロセスが悪意のあるライブラリを意図せずロードしてしまう信頼性の高い実行フローです。Mustang Pandaは、TONESHELLのようなバックドアのプッシュなど、過去の攻撃でもこの手法を一貫して使用してきました。
埋め込まれたDLL(kugou.dll)は、実行されると、スパイ活動用に設計されたカスタムC++バックドアとして機能します。LOTUSLITEは、Windows WinHTTP APIを利用してハードコードされたコマンドアンドコントロール(C2)サーバーへの接続を確立し、リモートコマンドの実行とデータ抽出を可能にします。
バックドア機能
LOTUSLITEは、リモート制御と偵察を容易にする一連のコア操作をサポートしています。これには以下が含まれます。
- CMD シェルの生成と制御によるリモート コマンド実行
- ディレクトリの列挙、ファイルの作成、データの追加などのファイルシステムのやり取り
- C2との通信を制御するビーコンステータス管理
LOTUSLITE でサポートされている完全なコマンド セットは次のとおりです。
- 0x0A: リモートCMDシェルを開始する
- 0x0B: リモートシェルを終了する
- 0x01: シェル経由でコマンドを送信する
- 0x06: ビーコン状態をリセット
- 0x03: ファイルを列挙する
LOTUSLITE は、Windows レジストリ設定を変更して、ユーザーがログインするたびに自動的に実行されるようにすることで、永続性も確保します。
行動特性と業務上の焦点
セキュリティアナリストは、LOTUSLITEがClaimloaderなどのMustang Pandaが以前に展開したツールと動作に類似性があることを観察しました。特に、ソーシャルエンジニアリングを支援する挑発的なメッセージ文字列を埋め込む点が顕著です。Claimloader自体はDLLローダーであり、以前のキャンペーンでPUBLOADなどの他のMustang Pandaペイロードを展開するために使用されていました。
この攻撃は、標的型スピアフィッシングにおける広範な傾向を浮き彫りにしています。高度な持続的脅威(APT)グループは、複雑なゼロデイエクスプロイトに頼るのではなく、社会的に関連性のあるルアーと、DLLサイドローディングなどの十分に検証された実行手法を組み合わせることで、攻撃にアクセスします。LOTUSLITEは高度な回避機能は備えていませんが、その分かりやすいコマンドアンドコントロール機能と信頼性の高い実行フローにより、長期的なスパイ活動に実用的なツールとなっています。
この攻撃キャンペーンは、シンプルで使い慣れた手法であっても、インテリジェントなターゲティングとコンテキストに適したルアーと組み合わせることで、特に価値の高い組織ネットワークに対しては効果を発揮できることを示しています。
