Spionagecampagne 'LOTUSLITE' richt zich op overheid VS
Beveiligingsonderzoekers van het Acronis Threat Research Unit (TRU) hebben een gerichte malwarecampagne ontdekt die gebruikmaakt van geopolitieke spanningen om Amerikaanse overheidsinstanties te bespioneren. De campagne verspreidt een voorheen onbekende backdoor, genaamd LOTUSLITE.
De aanvallers maken gebruik van 'spear phishing'-e-mails met een ZIP-archief als bijlage. Dit archief bevat een legitiem uitvoerbaar bestand dat is hernoemd naar een politiek gevoelig thema, zoals "Maduro to be taken to New York.exe". Zodra een gebruiker dit bestand opent, wordt via een techniek genaamd DLL sideloading ongemerkt de kwaadaardige LOTUSLITE-backdoor geladen.
Espionage in plaats van financieel gewin
LOTUSLITE is een op maat gemaakte backdoor die aanvallers in staat stelt om op afstand opdrachten uit te voeren en bestanden buit te maken. Volgens Acronis is de malware specifiek ontworpen voor spionage; er zijn geen aanwijzingen dat de aanvallers uit zijn op direct financieel gewin. De malware installeert zichzelf in de map C:\ProgramData om bij elke systeemstart actief te blijven.
Opvallend is dat de ontwikkelaars van de malware expliciete boodschappen in de code hebben achtergelaten. In bepaalde functies staan teksten waarin de auteur ontkent van Russische afkomst te zijn en juist een Chinese identiteit claimt.
Link met Mustang Panda
Met een "gemiddelde mate van zekerheid" schrijven de onderzoekers de campagne toe aan de bekende dreigingsgroep Mustang Panda. Deze groep staat erom bekend dat zij hun aanvallen razendsnel aanpassen aan de actuele wereldpolitiek. De gebruikte infrastructuur en de manier waarop de malware wordt geladen, vertonen sterke overeenkomsten met eerdere operaties van deze groep.
Acronis adviseert organisaties, zeker binnen de publieke sector, om extra alert te zijn op ongebruikelijke ZIP-bestanden en om geavanceerde detectiemethoden (EDR/XDR) in te zetten die dergelijke sideloading-technieken kunnen herkennen.
