TinyNote-Hintertür von chinesischem Bedrohungsakteur eingesetzt

Camaro Dragon, eine chinesische Nationalstaatsgruppe, wurde erneut mit einer neuen Hintertür in Verbindung gebracht, die ihren Geheimdienstzielen dient.

Nach Angaben des israelischen Cybersicherheitsunternehmens Check Point, das die Malware TinyNote nannte, fungiert sie als anfängliche Nutzlast, die eine grundlegende Maschinenaufzählung und Befehlsausführung über PowerShell oder Goroutinen ermöglicht.

Obwohl es der Malware möglicherweise an Raffinesse mangelt, gleicht sie dies durch den Einsatz redundanter Techniken aus, um den Zugriff auf kompromittierte Hosts aufrechtzuerhalten, einschließlich mehrerer Persistenzaufgaben und verschiedener Kommunikationsmethoden mit verschiedenen Servern.

Camaro Dragon überschneidet sich mit einer anderen staatlich geförderten chinesischen Gruppe namens Mustang Panda, die seit mindestens 2012 aktiv ist.

Kürzlich machte dieses Kollektiv mit einem maßgeschneiderten Firmware-Implantat namens Horse Shell auf sich aufmerksam, das TP-Link-Router in ein Mesh-Netzwerk umwandelt und die Übertragung von Befehlen an und von Command-and-Control-Servern (C2) ermöglicht.

Im Wesentlichen besteht das Ziel darin, böswillige Aktivitäten zu verschleiern, indem kompromittierte Heimrouter als Zwischeninfrastruktur verwendet werden, sodass die Kommunikation mit infizierten Computern den Anschein erweckt, als stamme sie von einem anderen Knoten.

Chinesische Bedrohungsakteure diversifizieren ihr Toolkit

Diese neuesten Erkenntnisse zeigen die zunehmende Raffinesse der von den Angreifern eingesetzten Umgehungstaktiken und Zielvorgaben sowie die breite Palette maßgeschneiderter Tools, mit denen die Verteidigung verschiedener Ziele durchbrochen wird.

Die TinyNote-Hintertür wird unter Dateinamen verbreitet, die sich auf auswärtige Angelegenheiten beziehen, beispielsweise „PDF_Contacts List Of Invitated Deplomatic Members“, und scheint auf Botschaften in Südost- und Ostasien abzuzielen. Bemerkenswert ist, dass dies das erste bekannte Exemplar eines in Golang geschriebenen Mustang-Panda-Artefakts ist.

Ein bemerkenswerter Aspekt dieser Malware ist ihre Fähigkeit, Smadav, eine Antivirenlösung in Indonesien, zu umgehen, was auf die hohe Vorbereitung der Angreifer und ihr tiefes Verständnis der Umgebungen ihrer Opfer hinweist.

Laut Check Point ist die Hintertür ein Ausdruck des gezielten Vorgehens von Camaro Dragon und der erheblichen Anstrengungen, die sie unternehmen, um ihre beabsichtigten Ziele zu infiltrieren. Der Einsatz der Hintertür zusammen mit zusätzlichen Tools unterschiedlicher Entwicklungsstufe deutet darauf hin, dass die Bedrohungsakteure ihr Angriffsarsenal erweitern.

In einer separaten Entdeckung stellte ThreatMon fest, dass APT41 (auch bekannt als Wicked Panda) LotL-Techniken (Living-off-the-Land) einsetzte, um eine PowerShell-Hintertür mithilfe einer legitimen ausführbaren Windows-Datei namens „forfiles“ bereitzustellen.