TinyNote Backdoor a kínai fenyegetőző színész alkalmazottja
A Camaro Dragon, a kínai nemzetállami csoport ismét egy új hátsó ajtóhoz kapcsolódott, amely hírszerzési céljait szolgálja.
Az izraeli kiberbiztonsági cég, a Check Point szerint, amely a TinyNote-nak nevezte el a malware-t, kezdeti rakományként működik, amely képes az alapvető gépek számbavételére és parancsok végrehajtására PowerShell vagy Goroutines segítségével.
Bár a rosszindulatú program nem feltétlenül kifinomult, ezt redundáns technikák alkalmazásával kompenzálja a kompromittált gazdagépekhez való hozzáférés fenntartása érdekében, beleértve a többszörös állandósági feladatokat és a különféle kiszolgálókkal folytatott kommunikációs módszereket.
A Camaro Dragon átfedésben van egy másik kínai államilag támogatott Mustang Panda nevű csoporttal, amely legalább 2012 óta működik.
A közelmúltban ez a kollektíva felhívta magára a figyelmet a Horse Shell néven ismert testreszabott firmware implantátummal, amely a TP-Link útválasztókat mesh hálózattá alakítja át, lehetővé téve a parancsok továbbítását a parancs- és vezérlő (C2) szerverek felé.
Lényegében a cél a rosszindulatú tevékenységek elfojtása a feltört otthoni útválasztók közvetítő infrastruktúraként történő felhasználásával, lehetővé téve, hogy a fertőzött számítógépekkel folytatott kommunikáció egy másik csomópontból származzon.
A kínai fenyegetés szereplői változatossá teszik eszköztárukat
Ezek a legújabb eredmények azt mutatják, hogy a támadók által alkalmazott kitérési taktika és célzás egyre kifinomultabb, valamint a különféle célpontok védelmének megsértésére használt egyedi eszközök széles skálája.
A TinyNote hátsó ajtót külügyekkel kapcsolatos fájlnevekkel terjesztik, például "PDF_Contacts List Of Invitated Deplomatic Members", és úgy tűnik, hogy Délkelet- és Kelet-Ázsiában található nagykövetségeket célozza meg. Nevezetesen, ez az első ismert példány a Golang nyelven írt Mustang Panda műtárgyról.
Ennek a rosszindulatú programnak az egyik figyelemre méltó jellemzője, hogy képes megkerülni a Smadav-t, egy indonéziai víruskereső megoldást, jelezve a támadók magas szintű felkészültségét és áldozataik környezetének mély megértését.
A Check Point szerint a hátsó ajtó a Camaro Dragon célzott megközelítését és azt a jelentős erőfeszítést tükrözi, amelyet a célpontok beszivárgása érdekében tesznek. A hátsó ajtó és a különböző fejlettségi szintekkel rendelkező további eszközök használata arra utal, hogy a fenyegetés szereplői bővítik támadási arzenáljukat.
Egy külön felfedezésben a ThreatMon azt találta, hogy az APT41 (más néven Wicked Panda) élőhelyi (LotL) technikákat alkalmazott PowerShell-hátsó ajtó telepítéséhez, a "forfiles" nevű legitim Windows végrehajtható fájl használatával.