Новата варијанта LOTUSLITE на Mustang Panda ги таргетира индиските банки и политичките кругови во Јужна Кореја

Истражувачите за сајбер-безбедност открија нова варијанта на познат малициозен софтвер наречен LOTUSLITE, кој се дистрибуира преку тема поврзана со банкарскиот сектор во Индија.

„Backdoor-от комуницира со командно-контролен сервер базиран на динамички DNS преку HTTPS и поддржува далечински shell пристап, операции со датотеки и управување со сесии, што укажува на континуирани шпионски способности наместо финансиски мотивирани цели“, изјавија истражувачите од Acronis, Субхаџит Синга и Сантијаго Понтироли во анализа.

Употребата на LOTUSLITE претходно беше забележана во spear-phishing напади насочени кон владини и политички ентитети во САД, користејќи мамки поврзани со геополитичките случувања меѓу САД и Венецуела. Активноста беше припишана со средна сигурност на кинеска државно поддржана група позната како Mustang Panda.

Истражувачите за сајбер-безбедност открија нова варијанта на познат малициозен софтвер наречен LOTUSLITE, кој се дистрибуира преку тема поврзана со банкарскиот сектор во Индија.

„Backdoor-от комуницира со командно-контролен сервер базиран на динамички DNS преку HTTPS и поддржува далечински shell пристап, операции со датотеки и управување со сесии, што укажува на континуирани шпионски способности наместо финансиски мотивирани цели“, изјавија истражувачите од Acronis, Субхаџит Синга и Сантијаго Понтироли во анализа.

Употребата на LOTUSLITE претходно беше забележана во spear-phishing напади насочени кон владини и политички ентитети во САД, користејќи мамки поврзани со геополитичките случувања меѓу САД и Венецуела. Активноста беше припишана со средна сигурност на кинеска државно поддржана група позната како Mustang Panda.

Овој чекор е дизајниран тивко да преземе и изврши JavaScript малициозен софтвер од оддалечен сервер („cosmosmusic[.]com“), чија главна задача е да го извлече и изврши малициозниот код содржан во CHM датотеката користејќи DLL side-loading. DLL датотеката („dnx.onecore.dll“) претставува ажурирана верзија на LOTUSLITE која комуницира со доменот „editor.gleeze[.]com“ за да прима команди и да извлекува чувствителни податоци.

Понатамошната анализа на кампањата откри слични артефакти дизајнирани да таргетираат ентитети во Јужна Кореја, особено лица од политичката и дипломатската заедница.

„Сметаме дека групата таргетирала одредени ентитети од јужнокорејската и американската дипломатска и политичка заедница, особено оние вклучени во прашања поврзани со Корејскиот Полуостров, политиките кон Северна Кореја и безбедносните дијалози во Индо-Пацификот“, соопшти Acronis.

„Она што се издвојува е проширувањето на таргетирањето на групата – од владини ентитети во САД со геополитички мамки, кон банкарскиот сектор во Индија преку импланти со референци на HDFC Bank и pop-up прозорци кои се претставуваат како легитимен банкарски софтвер, а сега и кон политичките кругови во Јужна Кореја и САД преку имитирање на истакната личност во дипломатијата поврзана со Корејскиот Полуостров, доставено преку лажни Gmail сметки и поставување на датотеки преку Google Drive.“

Извори:

• The Hacker News – Mustang Panda’s New LOTUSLITE Variant Targets India Banks, South Korea Policy Circles The Hacker News