Microsoft-signierter Binary wird für indienfokussierte Spionagekampagne genutzt, um LOTUSLITE einzuschleusen

Eine staatlich verbundene Bedrohungsgruppe wurde dabei ertappt, wie sie eine leise, aber sorgfältig geplante Spionageoperation gegen den Bankensektor Indiens durchführte und dabei eine vertrauenswürdige, verbundene Bedrohungsgruppe wurde dabei ertappt, wie sie eine leise, aber sorgfältig geplante Spionageoperation gegen den Bankensektor Indiens durchführte und dabei eine vertrauenswürdige,, um Malware an Sicherheitssysteme vorbeizuschleusen.

Die Kampagne liefert eine neue Version der LOTUSLITE-Backdoor über eine Technik namens DLL-Sideloading, die das Vertrauen ausnutzt, das Betriebssysteme in legitime ausführbare Dateien setzen. Anstatt lauter, störender Methoden agierte der Angreifer langsam und vermischte die bösartige Aktivität mit normalem Systemverhalten.

Der Angriff beginnt mit einem ZIP-Archiv, das thematisch auf den Bank- und Finanzsektor Indiens zugeschnitten ist. Im Archiv befindet sich eine legitime Microsoft-Executable namens Microsoft_DNX.exe, ein echtes Entwicklertools, das einst Teil des älteren ASP.NET Core Ökosystems war.

Nebenbei ist eine bösartige DLL versteckt, die darauf ausgelegt ist, im Moment des Ausführens dieser Executable geladen zu werden. Da die Binärdatei die DLL nach Namen lädt, ohne deren Authentizität oder einen vollständigen Dateipfad zu überprüfen, platziert der Angreifer einfach eine manipulierte DLL mit einem passenden Dateinamen im selben Ordner.

Wenn der Benutzer die ausführbare Datei ausführt, nimmt Windows die bösartige DLL ohne Fragen und behandelt sie als Teil einer vertrauenswürdigen Anwendung.