TinyNote Backdoor employé par un acteur de menace chinois
Camaro Dragon, un groupe d'États-nations chinois, a de nouveau été connecté à une nouvelle porte dérobée qui sert ses objectifs de collecte de renseignements.
Selon la société israélienne de cybersécurité Check Point, qui a nommé le malware TinyNote, il fonctionne comme une charge utile initiale capable d'énumérer les machines de base et d'exécuter des commandes via PowerShell ou Goroutines.
Bien que le logiciel malveillant puisse manquer de sophistication, il compense en employant des techniques redondantes pour maintenir l'accès aux hôtes compromis, y compris plusieurs tâches de persistance et diverses méthodes de communication avec divers serveurs.
Camaro Dragon chevauche un autre groupe parrainé par l'État chinois appelé Mustang Panda, qui est actif depuis au moins 2012.
Récemment, ce collectif a attiré l'attention avec un implant de micrologiciel personnalisé appelé Horse Shell, qui transforme les routeurs TP-Link en un réseau maillé, permettant la transmission de commandes vers et depuis des serveurs de commande et de contrôle (C2).
Essentiellement, l'objectif est d'obscurcir les activités malveillantes en utilisant des routeurs domestiques compromis comme infrastructure intermédiaire, permettant à la communication avec les ordinateurs infectés de sembler provenir d'un nœud différent.
Les acteurs chinois de la menace diversifient leur boîte à outils
Ces dernières découvertes démontrent la sophistication croissante des tactiques d'évasion et de ciblage employées par les attaquants, ainsi que le large éventail d'outils personnalisés utilisés pour percer les défenses de diverses cibles.
La porte dérobée TinyNote est distribuée en utilisant des noms de fichiers liés aux affaires étrangères, tels que "PDF_Liste de contacts des membres déplomatiques invités", et semble cibler les ambassades en Asie du Sud-Est et de l'Est. Il s'agit notamment de la première instance connue d'un artefact Mustang Panda écrit en Golang.
Un aspect notable de ce malware est sa capacité à contourner Smadav, une solution antivirus en Indonésie, indiquant le haut niveau de préparation des attaquants et leur profonde compréhension de l'environnement de leurs victimes.
Selon Check Point, la porte dérobée est une démonstration de l'approche ciblée de Camaro Dragon et des efforts considérables qu'ils ont déployés pour infiltrer leurs cibles. L'utilisation de la porte dérobée aux côtés d'outils supplémentaires avec différents niveaux d'avancement suggère que les acteurs de la menace élargissent leur arsenal d'attaque.
Dans une découverte distincte, ThreatMon a découvert qu'APT41 (également connu sous le nom de Wicked Panda) utilisait des techniques de vie hors de la terre (LotL) pour déployer une porte dérobée PowerShell à l'aide d'un exécutable Windows légitime appelé "forfiles".