赛柏特安全观察：Mastang Panda利用委内瑞拉新闻传播LOTUSLITE恶意软件

Acronis威胁研究部门（TRU）的网络安全研究人员发现，黑客正在利用新闻标题来监视美国政府机构。这些攻击者并没有使用复杂的漏洞利用程序，而是依靠一种更简单的伎俩——对时事的好奇心。

报告作者伊利亚·达夫切夫和苏巴吉特·辛格解释说，该行动利用美国和委内瑞拉之间持续的政治紧张局势作为诱饵。陷阱始于一个名为“美国正在决定下一步行动Venezuela.zip”的文件，这是一种典型的伎俩，即利用重大新闻事件诱使政府官员在未加思考的情况下点击链接。

后门策略

此次攻击的技术层面基于一种名为DLL 侧载的隐蔽手段，黑客将病毒隐藏在看似安全的程序中。在这次攻击活动中，他们使用了腾讯公司一款改名的音乐播放器，并将其命名为“Maduro to be taken to New York.exe”。

名为“US now decided what’s next for Venezuela.zip”的鱼叉式网络钓鱼压缩文件清晰可见，其中的恶意文件也清晰可见（来源：Acronis）。

当有人运行该音乐播放器时，计算机会被诱骗打开一个名为kugou.dll的隐藏恶意文件。这个文件是一个后门程序，研究人员将其命名为LOTUSLITE。一旦激活，黑客就能获得一条秘密通道，从而窃取文件、监视屏幕或执行命令，就好像他们坐在电脑前一样。

该恶意软件甚至试图伪装成谷歌机器人（Googlebot，谷歌用来浏览网页的工具）来隐藏自身。它会将窃取的信息发送到172.81.60.97位于亚利桑那州凤凰城的一台计算机，该计算机的IP地址指向一个特定的IP地址。

通往野马熊猫的线索

研究人员在报告中指出，黑客留下了一些奇怪的线索；代码中包含隐藏信息，作者声称自己是中国人，并明确表示自己不是俄罗斯人。“加载程序显示出开发成熟度较低，”研究团队指出，这表明黑客急于在新闻热度未减时发动攻击。

根据这些模式，Acronis 团队“有一定把握”认为，黑客组织Mustang Panda（又名 HoneyMyte）应对此负责，该组织以利用突发新闻发起快速间谍活动而闻名。

此次攻击的目标显然是间谍活动，旨在收集政治和战略情报，而非窃取金钱。攻击者选择可靠、简便的方法而非复杂的手段，表明他们更注重完成任务而非追求技术上的花哨。