TinyNote Backdoor Employed by Chinese Threat Actor

Η Camaro Dragon, μια κινεζική ομάδα έθνους-κράτους, συνδέθηκε για άλλη μια φορά με μια νέα κερκόπορτα που εξυπηρετεί τους στόχους της συλλογής πληροφοριών.

Σύμφωνα με την ισραηλινή εταιρεία κυβερνοασφάλειας Check Point, η οποία ονόμασε το κακόβουλο λογισμικό TinyNote, λειτουργεί ως αρχικό ωφέλιμο φορτίο ικανό για βασική απαρίθμηση μηχανημάτων και εκτέλεση εντολών μέσω PowerShell ή Goroutines.

Αν και το κακόβουλο λογισμικό μπορεί να στερείται πολυπλοκότητας, αντισταθμίζει χρησιμοποιώντας περιττές τεχνικές για τη διατήρηση της πρόσβασης σε παραβιασμένους κεντρικούς υπολογιστές, συμπεριλαμβανομένων πολλαπλών εργασιών επιμονής και διαφορετικών μεθόδων επικοινωνίας με διάφορους διακομιστές.

Το Camaro Dragon επικαλύπτεται με μια άλλη κινεζική κρατική ομάδα που ονομάζεται Mustang Panda, η οποία δραστηριοποιείται τουλάχιστον από το 2012.

Πρόσφατα, αυτή η συλλογή τράβηξε την προσοχή με ένα προσαρμοσμένο υλικολογισμικό, γνωστό ως Horse Shell, το οποίο μετατρέπει τους δρομολογητές TP-Link σε δίκτυο πλέγματος, επιτρέποντας τη μετάδοση εντολών προς και από διακομιστές εντολών και ελέγχου (C2).

Ουσιαστικά, ο στόχος είναι να συγχέεται η κακόβουλη δραστηριότητα χρησιμοποιώντας παραβιασμένους οικιακούς δρομολογητές ως ενδιάμεση υποδομή, επιτρέποντας την επικοινωνία με μολυσμένους υπολογιστές να φαίνεται ότι προέρχεται από διαφορετικό κόμβο.

Οι Κινέζοι ηθοποιοί απειλών διαφοροποιούν την εργαλειοθήκη τους

Αυτά τα τελευταία ευρήματα καταδεικνύουν την αυξανόμενη πολυπλοκότητα των τακτικών αποφυγής και της στόχευσης που χρησιμοποιούν οι επιτιθέμενοι, καθώς και το ευρύ φάσμα προσαρμοσμένων εργαλείων που χρησιμοποιούνται για την παραβίαση της άμυνας διαφόρων στόχων.

Το backdoor του TinyNote διανέμεται χρησιμοποιώντας ονόματα αρχείων που σχετίζονται με εξωτερικές υποθέσεις, όπως "PDF_Contacts List Of Invitated Deplomatic Members" και φαίνεται να στοχεύει πρεσβείες στη Νοτιοανατολική και Ανατολική Ασία. Αξίζει να σημειωθεί ότι αυτή είναι η πρώτη γνωστή περίπτωση τεχνουργήματος Mustang Panda που γράφτηκε στο Golang.

Μια αξιοσημείωτη πτυχή αυτού του κακόβουλου λογισμικού είναι η ικανότητά του να παρακάμπτει το Smadav, μια λύση προστασίας από ιούς στην Ινδονησία, υποδεικνύοντας το υψηλό επίπεδο ετοιμότητας των εισβολέων και τη βαθιά κατανόηση του περιβάλλοντος των θυμάτων τους.

Σύμφωνα με το Check Point, η κερκόπορτα είναι μια επίδειξη της στοχευμένης προσέγγισης του Camaro Dragon και της σημαντικής προσπάθειας που κατέβαλαν για να διεισδύσουν στους επιδιωκόμενους στόχους τους. Η χρήση της κερκόπορτας μαζί με πρόσθετα εργαλεία με διαφορετικά επίπεδα προόδου υποδηλώνει ότι οι παράγοντες της απειλής διευρύνουν το οπλοστάσιό τους επίθεσης.

Σε μια ξεχωριστή ανακάλυψη, η ThreatMon διαπίστωσε ότι το APT41 (επίσης γνωστό ως Wicked Panda) χρησιμοποίησε τεχνικές που ζουν εκτός της γης (LotL) για να αναπτύξει μια κερκόπορτα PowerShell χρησιμοποιώντας ένα νόμιμο εκτελέσιμο αρχείο των Windows που ονομάζεται "forfiles".