Sicherheitsforscher haben eine neue Variante einer Malware erkannt, die als LOTUSLITE bekannt ist, die jetzt von einem decoy auf den Bankensektor in Indien ausgerichtet wird. Nach der von Acronis-Spezialisten veröffentlichten Analyse verwendet die Probe eine Compied HTML (CHM)-Datei als Eingabepunkt und nutzt die Verwendung von DLL-Seitenladetechniken, um eine bösartige Komponente, die verschlüsselte Kommunikation mit einem dynamischen DNS-basierten Steuer- und Steuerserver setzt. Kurz gesagt, es ist nicht ein klassisches Bank Trojaner, sondern ein Werkzeug für Spionage und Exfiltration. Weitere Informationen finden Sie in der Acronis-Forschungsabteilung. Acronis Research.
Der Modus operandi beginnt mit einer CHM, die eine legitime Dokumentation im Zusammenhang mit einem Finanzinstitut enthält. Eine gültige ausführbare und manipulierte DLL befindet sich in der Datei. Die eingebettete HTML-Seite zeigt ein Dialogfeld, das den Benutzer dazu veranlasst, "Ja" zu drücken; die scheinbar harmlose Geste löst eine Kette von Downloads, die ein JavaScript-Skript von einem Remote-Server, der von Analysten identifiziert wird, wiederherstellt und die für das Entfernen und Ausführen der in der CHM enthaltenen Malware verantwortlich ist. Diese Kombination - böswillige CHM-Datei, soziales Engineering und Seitenlast von DLL - ist ein bekanntes, aber effektives Rezept, wenn die Opfer den offensichtlich legitimen Inhalt nicht misstrauen. Um besser zu verstehen, was CHM sind und warum sie ein attraktiver Vektor sind, gibt es in der öffentlichen Dokumentation über Compied HTML Help: Kompiliertes HTML Hilfe (Wikipedia).
DLL in dieser Kampagne, identifiziert von Forschern als "dnx.onecore.dll", ist eine weiterentwickelte Version von LOTUSLITE. Es kommuniziert über HTTPS mit einem Kontrollserver, der dynamische DNS verwendet, um seine Infrastruktur zu verstecken (die von Acronis identifizierten Domänen umfassen Beispiele, die während der Operation verwendet werden). Die Backdoor bietet Fähigkeiten, die über einfache Remote-Befehle hinausgehen: es ermöglicht Remote Shell, Datei-Operationen und Sitzungsmanagement, was darauf hindeutet, die Ziele der Informationssammlung im Laufe der Zeit zu erhalten, anstatt direkten Betrug. Die Verwendung von HTTPS-Kanälen für den Befehl und die Steuerung des Verkehrs ist eine regelmäßige Technik für die schädliche Telemetrie unter verschlüsseltem Verkehr; die technische Klassifizierung dieser Taktiken wird in Repositories wie MITRE ATT & CK ( T1071 - Application Layer Protocol)
Der Hintergrund des Schauspielers hinter der LOTUSLITE deutet darauf hin, dass eine in der Cyber-Sicherheits-Gemeinschaft als Mustang Panda bekannte Gruppe mit mittlerem Vertrauen zu einer Gruppe mit China gehört. Diese Gruppe von Akteuren war bereits mit Kampagnen verbunden, die gegen Regierungs- und außenpolitische Organisationen gerichtet waren, indem sie Lures im Zusammenhang mit geopolitischen Spannungen nutzten. Die Neuheit ist dabei die geografische und sektorale Wendung: Die Kampagne hält einen Großteil ihres operationellen "Playbooks" aufrecht, konzentriert sich aber vor allem auf den indischen Bankensektor, auch unter Verwendung von Verweisen auf Institutionen wie HDFC Bank, um die Glaubwürdigkeit der Zwiebeln zu erhöhen. Für einen allgemeinen Überblick über diesen Schauspieler und seine Geschichte bietet der öffentliche Eintrag über Mustang Panda zusätzlichen Kontext: Mustang Panda (Wikipedia).
Neben dem Fokus in Indien haben Analysten Zeichen ähnlicher Teile und Köder für Südkorea gefunden, insbesondere für politische und diplomatische Mitarbeiter auf der koreanischen Halbinsel. Nach Angaben der Forscher haben die Angreifer auch versucht, relevante Zahlen in diesem Bereich zu supplantieren, durch geschmiedete Gmail-Konten zu senden und Material auf Google Drive zu speichern, um es legitim aussehen zu lassen und die Lieferung zu erleichtern. Diese Art der Kombination - fortgeschrittene Social Engineering, Supplanting und Gebäude auf Vertrauensplattformen - erhöht die Wahrscheinlichkeit, dass ein Empfänger herunterladen oder schädliche Inhalte ausführen wird.
Ein markanter Aspekt des Berichts ist, dass Autoren weiterhin in Malware-Verbesserung investieren: Die neue Variante zeigt "incrementale Verbesserungen" von früheren Versionen, die aktive Wartung zeigt. Dies ist nicht anekdotal: Wenn ein Bediener Fehler korrigiert, Fähigkeiten hinzufügt oder seine C2-Infrastruktur verfeinert, wird seine Kampagne gefährlicher und schwer zu erkennen. Für Manager und Sicherheitsbeamte ist die Erkenntnis, dass sich die Bedrohung entwickelt, ebenso wichtig wie die Erkennung der aktuellen Kampagne.
Welche praktischen Maßnahmen sollten angesichts solcher Bedrohungen Vorrang eingeräumt werden? Die erste Barriere ist die Vorsicht des Benutzers von Anhängen und unerwarteten Links: CHM ist keine Art von Datei, die normalerweise per Post gesendet werden sollte, und jeder Dialog, der die Erlaubnis verlangt, etwas auszuführen, sollte Alarme aktivieren. Auf technischer Ebene sollten Organisationen die binäre Ausführung von unzuverlässigen Orten steuern, Richtlinien anwenden, die die seitliche Belastung von DLL einschränken und verschlüsselte Ausgänge auf ungewöhnliche Domains und Dienste überwachen. Es ist auch wichtig, die Netzsegmentierung und das Prinzip der weniger Privilegierung anzuwenden, um den Umfang jeder Komponente zu begrenzen, die implementiert werden kann. Microsoft und andere Lieferanten haben "DLL Search order hijacking" Techniken und Minderung dokumentiert, die Ihnen helfen, diese Art von Risiko zu verstehen: DLL-Suchfolge hijacking (Wikipedia).
Schließlich hängt die Früherkennung von beiden Endpunktlösungen ab, mit der Fähigkeit, verdächtige Verhaltensweisen und gute E-Mail-Hygiene (Filterung von Suplantationen und Phishing-Schutz), Segmentierung von Cloud-Speicherumgebungen und kontinuierliche Überprüfung von Verpflichtungsindikatoren zu identifizieren. Spezielle Publikationen und Mitteilungen von Notfall-Responsorteams bieten Erkennungs- und Vermittlungsführer, die regelmäßig überprüft werden sollten. Mit zuverlässigen Quellen informiert zu bleiben und mit der Gemeinschaft beobachtbar zu sein, hilft, das Fenster der Exposition gegenüber Kampagnen der staatlichen Natur zu reduzieren und gut finanziert.
Kurz gesagt, die Entstehung einer aktualisierten Version von LOTUSLITE konzentrierte sich auf den indischen Bankensektor und mit Ableitungen nach Südkorea zeigt drei Realitäten: persistente Akteure halten und verfeinern ihre Werkzeuge; Social Engineering bleibt der Haupthebel für die Öffnung von Türen; und Verteidigung erfordert die Kombination von Benutzerschulungen, technischen Kontrollen und ständige Überwachung. Für diejenigen, die Sicherheit in Organisationen mit Interesse in der Region oder in diplomatischen Bereichen verwalten, ist die Empfehlung, die Dateityp Sperreinstellungen (wie CHM) überprüfen, die DLL-Ausführungspolitiken zu stärken und jeden ungewöhnlichen ausgehenden Verkehr zu Analysezentren für Korrelation zu skalieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...