TinyNote Backdoor ansat af kinesisk trusselskuespiller

Camaro Dragon, en kinesisk nationalstatsgruppe, er igen blevet forbundet med en ny bagdør, der tjener dens efterretningsindsamlingsmål.

Ifølge det israelske cybersikkerhedsfirma Check Point, som navngav malwaren TinyNote, fungerer den som en indledende nyttelast, der er i stand til grundlæggende maskinoptælling og kommandoudførelse via PowerShell eller Goroutines.

Selvom malwaren måske mangler sofistikeret, kompenserer den ved at anvende redundante teknikker til at opretholde adgangen til kompromitterede værter, herunder flere persistensopgaver og forskellige kommunikationsmetoder med forskellige servere.

Camaro Dragon overlapper med en anden kinesisk statssponsoreret gruppe kaldet Mustang Panda, som har været aktiv siden mindst 2012.

For nylig tiltrak dette kollektiv opmærksomhed med et tilpasset firmware-implantat kendt som Horse Shell, som forvandler TP-Link-routere til et mesh-netværk, der muliggør overførsel af kommandoer til og fra kommando-og-kontrol-servere (C2).

I bund og grund er målet at tilsløre ondsindet aktivitet ved at bruge kompromitterede hjemmeroutere som mellemliggende infrastruktur, så kommunikation med inficerede computere ser ud til at stamme fra en anden node.

Kinesiske trusselsaktører diversificerer deres værktøjskasse

Disse seneste resultater demonstrerer den stigende sofistikerede undvigelsestaktik og -målretning, som angriberne anvender, såvel som det brede udvalg af brugerdefinerede værktøjer, der bruges til at bryde forsvaret af forskellige mål.

TinyNote-bagdøren distribueres ved hjælp af filnavne, der er relateret til udenrigsanliggender, såsom "PDF_Contacts List Of Invitated Deplomatic Members," og ser ud til at være målrettet mod ambassader i Sydøstasien og Østasien. Dette er især det første kendte eksempel på en Mustang Panda-artefakt skrevet i Golang.

Et bemærkelsesværdigt aspekt af denne malware er dens evne til at omgå Smadav, en antivirusløsning i Indonesien, hvilket indikerer angribernes høje beredskabsniveau og dybe forståelse af deres ofres miljøer.

Ifølge Check Point er bagdøren en visning af Camaro Dragons målrettede tilgang og den betydelige indsats, de lægger i at infiltrere deres tilsigtede mål. Brugen af bagdøren sammen med yderligere værktøjer med forskellige fremskridtsniveauer tyder på, at trusselsaktørerne udvider deres angrebsarsenal.

I en separat opdagelse fandt ThreatMon ud af, at APT41 (også kendt som Wicked Panda) brugte living-off-the-land (LotL) teknikker til at implementere en PowerShell-bagdør ved hjælp af en legitim Windows-eksekverbar, kaldet "forfiler".