TinyNote Backdoor a kínai fenyegetőző színész alkalmazottja

A Camaro Dragon, a kínai nemzetállami csoport ismét egy új hátsó ajtóhoz kapcsolódott, amely hírszerzési céljait szolgálja.

Az izraeli kiberbiztonsági cég, a Check Point szerint, amely a TinyNote-nak nevezte el a malware-t, kezdeti rakományként működik, amely képes az alapvető gépek számbavételére és parancsok végrehajtására PowerShell vagy Goroutines segítségével.

Bár a rosszindulatú program nem feltétlenül kifinomult, ezt redundáns technikák alkalmazásával kompenzálja a kompromittált gazdagépekhez való hozzáférés fenntartása érdekében, beleértve a többszörös állandósági feladatokat és a különféle kiszolgálókkal folytatott kommunikációs módszereket.

A Camaro Dragon átfedésben van egy másik kínai államilag támogatott Mustang Panda nevű csoporttal, amely legalább 2012 óta működik.

A közelmúltban ez a kollektíva felhívta magára a figyelmet a Horse Shell néven ismert testreszabott firmware implantátummal, amely a TP-Link útválasztókat mesh hálózattá alakítja át, lehetővé téve a parancsok továbbítását a parancs- és vezérlő (C2) szerverek felé.

Lényegében a cél a rosszindulatú tevékenységek elfojtása a feltört otthoni útválasztók közvetítő infrastruktúraként történő felhasználásával, lehetővé téve, hogy a fertőzött számítógépekkel folytatott kommunikáció egy másik csomópontból származzon.

A kínai fenyegetés szereplői változatossá teszik eszköztárukat

Ezek a legújabb eredmények azt mutatják, hogy a támadók által alkalmazott kitérési taktika és célzás egyre kifinomultabb, valamint a különféle célpontok védelmének megsértésére használt egyedi eszközök széles skálája.

A TinyNote hátsó ajtót külügyekkel kapcsolatos fájlnevekkel terjesztik, például "PDF_Contacts List Of Invitated Deplomatic Members", és úgy tűnik, hogy Délkelet- és Kelet-Ázsiában található nagykövetségeket célozza meg. Nevezetesen, ez az első ismert példány a Golang nyelven írt Mustang Panda műtárgyról.

Ennek a rosszindulatú programnak az egyik figyelemre méltó jellemzője, hogy képes megkerülni a Smadav-t, egy indonéziai víruskereső megoldást, jelezve a támadók magas szintű felkészültségét és áldozataik környezetének mély megértését.

A Check Point szerint a hátsó ajtó a Camaro Dragon célzott megközelítését és azt a jelentős erőfeszítést tükrözi, amelyet a célpontok beszivárgása érdekében tesznek. A hátsó ajtó és a különböző fejlettségi szintekkel rendelkező további eszközök használata arra utal, hogy a fenyegetés szereplői bővítik támadási arzenáljukat.

Egy külön felfedezésben a ThreatMon azt találta, hogy az APT41 (más néven Wicked Panda) élőhelyi (LotL) technikákat alkalmazott PowerShell-hátsó ajtó telepítéséhez, a "forfiles" nevű legitim Windows végrehajtható fájl használatával.