Chrysalis : le backdoor de Lotus Blossom distribuĂ© via lâabus de Notepad++ et un loader Warbird
Source: Rapid7 â Rapid7 Labs et lâĂ©quipe MDR publient une analyse technique dâune campagne attribuĂ©e Ă lâAPT chinois Lotus Blossom, active depuis 2009 et ciblant surtout lâAsie du Sud-Est (et rĂ©cemment lâAmĂ©rique centrale). LâenquĂȘte met au jour le backdoor sur mesure âChrysalisâ, livrĂ© via un abus de lâinfrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. âą ChaĂźne dâinfection et loaders. LâaccĂšs initial est en ligne avec lâabus public de Notepad++ (exĂ©cution de notepad++.exe puis GUP.exe avant un âupdate.exeâ tĂ©lĂ©chargĂ© depuis 95.179.213.0). âupdate.exeâ est un installateur NSIS plaçant dans %AppData%\Bluetooth un exĂ©cutable lĂ©gitime renommĂ© (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, dĂ©chiffrent et exĂ©cutent du shellcode via une dĂ©rivation de clĂ© (LCG + finaliseur MurmurHash-like) et rĂ©solution dâAPI par hash (FNV-1a + avalanche). Le shellcode dĂ©chiffre le module principal (clĂ© XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaĂźnes obfusquĂ©es et rĂ©sout les APIs en marchant le PEB. ...