Ire, başka bir LOTUSLITE örneğini tanımladı.

Microsoft’un otonom kötü amaçlı yazılım sınıflandırma ajanı Project Ire'ı, bir kötü amaçlı yazılım örneğine - kör olarak - yönlendirdik ve bir karar istedik. Örnek, Acronis tarafından yakın zamanda belgelenen bir Windows DLL arka kapısı olan LOTUSLITE'ın bir varyantıdır. Bizim kopyamızın hash'i onların IOC listesinde yok ve 4 Haziran itibarıyla, çoğu büyük EDR (CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto, ESET) hala bunu kötü amaçlı yazılım olarak işaretlemiyor. Ire, Acronis’in yayımladığı analizle uyumlu olan işlev bazında bir davranış raporu üretti: kurulum rutini, C2 paket düzeni, komut kimlikleri, kalıcılık mekanizması, obfuscation. Bir dekompiler tabanlı çalışma, insan ön bilgisi olmadan.

Bu, davranışsal, ajanik ters mühendisliğin, imza eşleştirme ve manuel incelemelerin yetersiz kaldığı durumlarda neler başarabileceğini gösteriyor. IOC'leri paylaşmayan ancak TTP'leri paylaşan varyantlar, imza listelerinin üzerinden kayıp gitmek yerine yakalanıyor. Yeni kötü amaçlı yazılım sınıflandırması, otomatik bir doğrulayıcıya sahip olmayan bir alan olup, yazılımın davranışlarını yüzeye çıkarmak ve niyetini belirlemek için derinlemesine araştırma ve bütünsel anlayış gerektiriyor. Ire, bağlam olmadan çalışıyor: hiçbir köken meta verisi, hiçbir telemetri, hiçbir analist istemi yok. Dekompliler ve ikili analiz araçlarını çağırıyor, denetlenebilir bir kanıt zinciri oluşturuyor ve kötü niyetli veya masum bir karar veriyor.

Acronis’in Tehdit Araştırma Birimi (TRU) LOTUSLITE hakkında bir yazı yayımladı (yeni sekmede açılır), siyasi temalı bir ZIP aracılığıyla teslim edilen bir DLL arka kapısı olup, yeniden adlandırılmış bir Tencent KuGou başlatıcısı aracılığıyla yan yüklenmiştir. Altyapı örtüşmesi ve yükleyici/DLL ayrımına dayanarak bunu Mustang Panda'ya orta düzeyde bir güvenle atfediyorlar. Davranışı raporla eşleşen örnekleri VirusTotal'da avlarken, Acronis’in IOC listesinde görünmeyen bir örnek bulduk.

Örnek: