Um grupo de ameaça vinculado a estado foi pego executando uma operação de espionagem tranquila mas cuidadosamente planejada contra o setor bancário da Índia, usando um arquivo confiável assinado pela Microsoft para infiltrar malware além das defesas de segurança.
Contexto da campanha
A campanha entrega uma nova versão do backdoor LOTUSLITE através de uma técnica conhecida como DLL sideloading, que explora a confiança que os sistemas operacionais depositam em executáveis legítimos. Em vez de métodos altos e disruptivos, o ator da ameaça moveu-se lentamente, misturando atividade maliciosa no comportamento normal do sistema.
O ataque começa com um arquivo ZIP temático sobre o setor bancário e financeiro da Índia. Dentro do arquivo reside um executável legítimo da Microsoft chamado Microsoft_DNX.exe, uma ferramenta de desenvolvedor real que fazia parte do ecossistema ASP.NET Core mais antigo.
DLL Sideloading: O Mecanismo Central de Infecção
O mecanismo de infecção no coração desta campanha depende inteiramente da confiança do sistema operacional em software assinado. Quando Microsoft_DNX.exe é executado, ele carrega dinamicamente a DLL LOTUSLITE em tempo de execução, resolvendo a função de exportação DnxMain, que transfere a execução diretamente para o código controlado pelo atacante.
O executável foi escolhido especificamente porque o Windows o reconhece como assinado, significando que produtos de segurança são improváveis de sinalizá-lo. Como carrega a DLL apenas por nome de arquivo sem verificação de caminho completo, o atacante só precisa colocar o arquivo malicioso no mesmo diretório para garantir que seja carregado.
Características do LOTUSLITE
Uma vez instalado, o backdoor LOTUSLITE se conecta a um servidor de comando-e-controle (C2) baseado em DNS dinâmico sobre HTTPS, fazendo seu tráfego parecer comunicação web criptografada rotineira.
O implant suporta acesso de shell remoto, operações de arquivo e gerenciamento de sessão, dando ao atacante um ponto de apoio persistente na máquina comprometida. O design do backdoor aponta fortemente para objetivos de espionagem, já que é construído para coletar informações e manter acesso de longo prazo em vez de causar interrupção visível.
Atribuição e alcance
A atribuição ao cluster de atividade Mustang Panda, um grupo de ameaça persistente avançada (APT) vinculado à China, é avaliada com confiança moderada baseada em padrões de infraestrutura compartilhados e comportamentos operacionais documentados pela equipe TRU.
A campanha mais ampla conecta-se a atividade paralela mirando círculos geopolíticos relacionados à Coreia. Pesquisadores encontraram a mesma infraestrutura LOTUSLITE usada em campanhas referenciando comunidades políticas e diplomáticas coreanas, sugerindo que o ator da ameaça opera em múltiplas frentes usando o mesmo conjunto de ferramentas central enquanto troca material de isca para combinar cada público-alvo.
Medidas de mitigação recomendadas
Equipes de segurança são aconselhadas a monitorar padrões incomuns de carregamento de DLL de executáveis legítimos da Microsoft e aplicar políticas de controle de aplicativo restringindo carregamento de DLL para caminhos de arquivo verificados.
Qualquer executável assinado carregando DLLs não verificadas de diretórios graváveis por usuário deve ser tratado como suspeito, e ferramentas de detecção de endpoint focadas em sinais comportamentais em vez de reputação de arquivo sozinhas permanecem a defesa mais eficaz contra este estilo de ataque.
O que os CISOs devem fazer imediatamente
- Implementar políticas de controle de aplicativo para executáveis Microsoft
- Monitorar carregamento de DLL de diretórios graváveis por usuário
- Revisar logs de execução de Microsoft_DNX.exe
- Aplicar detecção comportamental em vez de apenas reputação de arquivo
Perguntas frequentes
Por que executáveis assinados são perigosos? Produtos de segurança estendem confiança implícita a arquivos assinados pela Microsoft e raramente levantam alertas baseados apenas em sua execução.
Como detectar DLL sideloading? Monitorar padrões incomuns de carregamento de DLL e aplicar políticas de controle de aplicativo restringindo carregamento para caminhos verificados.