Mustang Panda širi napade sa novom verzijom LOTUSLITE malvera - cilj indijske banke i korejski politički krugovi
Kineska grupa Mustang Panda koristi novu verziju LOTUSLITE backdoora za napade na indijske banke i južnokorejske političke institucije kroz sofisticirane spear-phishing kampanje.
Šta se desilo?
Istraživači sajber-bezbednosti iz kompanije Acronis su otkrili novu varijantu LOTUSLITE malvera koju distribuira kineska državno podržavana grupa poznata kao Mustang Panda. Nova verzija malvera se koristi u koordinisanim napadima usmerenim prema indijskom finansijskom sektoru i južnokorejskim političkim krugovima kroz ciljane spear-phishing kampanje sa lokalnom kontekstom.
Koga pogađa?
Napadi su usmereni ka sledećim ciljevima: indijske banke (posebno HDFC Bank i sličnih institucija), političari i diplomate u Južnoj Koreji uključeni u pitanja vezana za Korejski poluostrov, američki državni entiteti sa geopolitičkim interesom, i šira dislokacija koju sluša politička i diplomatska zajednica SAD vezana za Indijsko-Pacifički region.
Kako se zaštititi?
- Budite skeptični prema emailima koji sadrže teme vezane za bankarstvo ili geopolitiku - verifikujte autentičnost pošiljaoca direktnim kontaktom
- Izbegavajte preuzimanje attachmenata (posebno CHM ili datoteka sa bančenim ekstenzijama) iz nepouzdanih ili sumnjivog izgleda izvora
- Koristite email sigurnost sa naprednom detekcijom spear-phishing napada i verifikacijom domena
- Omogućite dvofaktorsku autentifikaciju na Google nalozima i svim kritičnim korporativnim servisima
- Redovno ažurirajte sve sisteme i aplikacije kako biste sprečili DLL side-loading zloupotrebbe
- Monitorujte aktivnost DNS zahteva ka poznatim C2 domenama kao što su 'editor.gleeze[.]com' i 'cosmosmusic[.]com'
- Edukujte zaposlene o rizicima od lažnih Gmail naloga i proverite autentičnost pošiljaoca čak i kada izgleda da dolaze od poznatih osoba
Tehnički detalji
LOTUSLITE backdoor komunicira sa kontrolnim serverima preko dinamičkog DNS-a korišćenjem HTTPS konekcije. Novi infekcioni lanac koristi JavaScript u CHM datotekama za učitavanje DLL fajla 'dnx.onecore.dll' preko side-loading tehnike. Malver ima mogućnosti za daljinski shell pristup, manipulaciju datotekama i upravljanje sesijama što ukazuje na špijunske capacitete umesto krađe novca. Detektovane C2 domene: editor.gleeze[.]com i cosmosmusic[.]com. Kampanja koristi lažne Gmail naloge i Google Drive za distribuciju inficirane datoteke.
Preporuka Sajber Radara
Ova kampanja jasno pokazuje kako napredne grupe prilagođavaju svoje taktike različitim geografskim regionima i sektorima. Organizacije u finansijskom sektoru i vladine institucije moraju hitno pojačati zaštitu emaila i edukaciju zaposlenih, posebno u odnosu na ciljane napade sa lokalnom kontekstom.
