中东冲突助长投机性网络攻击

admin

中东冲突助长投机性网络攻击

作者：James Bentley
来源：Zscaler.com
引用：https://www.zscaler.com/blogs/security-research/middle-east-conflict-fuels-opportunistic-cyber-attacks

案例二：Mustang Panda利用与伊朗冲突相关的诱饵使用LOTUSLITE后门

2026年3月4日，ThreatLabz发现了一个与冲突主题相关的恶意ZIP存档。执行存档中的恶意软件触发了LOTUSLITE后门的下载和执行。

ZIP文件包含：

- 一款合法的酷狗音乐软件二进制文件，被威胁行为者重命名为Iran Strikes U.S. Military Facilities Across Gulf Region.exe

- Iran Strikes U.S. Military Facilities Across Gulf Region.exe：一个恶意DLL，libmemobook.dll

根据提取的目录名JCPOA，ThreatLabz评估内容旨在与2015年签署的伊朗核协议（JCPOA）相关。文件名Iran Strikes U.S. Military Facilities Across Gulf Region.exe似乎被故意选择，以与中东持续的军事冲突相吻合。

当执行时，合法的可执行文件会从同一目录侧载恶意libmemobook.dll。

阶段一：libmemobook.dll分析（LOTUSLITE下载器）

libmemobook.dll是一个32位C++ DLL，用于下载下一阶段的有效载荷并在端点上建立持久性。恶意功能实现在名为ProcessMain的导出函数中。

首次运行时，下载器会检查LOTUSLITE是否已安装。它在C:\ProgramData\CClipboardCm\下查找两个文件。

WebFeatures.exe

kugou.dll

下载器还会验证这两个文件是否与预期的文件大小匹配。如果检查通过，下载器将启动WebFeatures.exe然后退出。

如果环境检查失败，下载器开始其安装流程：

- 确保它正在目标目录中运行：下载器检查它是否已从C:\ProgramData\CClipboardCm\中执行。如果不是，它将创建目录并将自身复制到C:\ProgramData\CClipboardCm\libmemobook.dll，将合法的主机可执行文件复制到C:\ProgramData\CClipboardCm\SafeChrome.exe

- 建立持久性：下载器创建一个Windows Run键

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ACboardCm

并将其设置为：C:\ProgramData\CClipboardCm\SafeChrome.exe。

下载器然后检查C:\ProgramData\WebFeatures\中的下一阶段组件。

WebFeatures.exe

kugou.dll

如果两个文件都存在且其大小有效，下载器将通过CreateProcessW执行WebFeatures.exe。然后WebFeatures.exe从同一目录侧载恶意DLL kugou.dll，继续感染链。

如果下一阶段的有效载荷不存在，下载器将解密嵌入的shellcode，使用VirtualAlloc分配可执行内存，将解密后的shellcode复制到分配的区域，并通过以下方式间接执行它：

- 将EnumFontsW回调设置为shellcode地址，

- 调用EnumFontsW以触发执行。

shellcode分析

32位shellcode主要使用以下表中的预配置URL下载和放置下一阶段的有效载荷。

URL 下载的文件名

www.e-kflower[.]com/_prozn/_skin_mbl/home/KApp.rar WebFeatures.exe

www.e-kflower[.]com/_prozn/_skin_mbl/home/KAppl.rar kugou.dll

表1：shellcode使用的预配置URL。

值得注意的是，域名e-kflower[.]com已被威胁行为者入侵并用于放置有效载荷。

shellcode将所有网络请求使用的User-Agent硬编码为Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36。此User-Agent在其HTTP流量中一致应用，以模仿合法的Chrome浏览器活动。在下载下一阶段的有效载荷后，下载器将它们复制到C:\ProgramData\WebFeatures\.然后它通过创建以下Run键建立持久性：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ASEdge

并将其设置为启动C:\ProgramData\WebFeatures\WebFeatures.exe -Edge。

阶段二：kugou.dll分析

WebFeatures.exe是酷狗音乐软件套件中的合法数据导入实用工具。当从受侵害的目录执行时，它会侧载放置在旁边的恶意kugou.dll。ThreatLabz观察到kugou.dll与2026年1月记录的LOTUSLITE后门有大量代码重叠，包括使用相同的C2 IP地址：172.81.60[.]97。

与LOTUSLITE相关的威胁行为者似乎迅速将与活跃的地缘政治事件相关的主题武器化。在2026年1月，他们利用了美国和委内瑞拉之间的紧张关系。在这场活动中，我们观察到他们采用了中东冲突的主题。