中国の脅威アクターが利用した TinyNote バックドア

中国の国民国家グループであるカマロ ドラゴンが、情報収集の目的を果たす新たなバックドアに再び接続されました。

このマルウェアを TinyNote と命名したイスラエルのサイバーセキュリティ会社 Check Point によると、このマルウェアは基本的なマシンの列挙と PowerShell または Goroutines を介したコマンド実行が可能な初期ペイロードとして動作します。

このマルウェアは洗練性に欠ける可能性がありますが、複数の永続化タスクやさまざまなサーバーとの多様な通信方法など、侵害されたホストへのアクセスを維持するための冗長技術を採用することで補っています。

カマロ・ドラゴンは、少なくとも2012年から活動を続けているマスタング・パンダと呼ばれる別の中国国家支援団体と重なる。

最近、この集団は、TP-Link ルーターをメッシュ ネットワークに変換し、コマンド アンド コントロール (C2) サーバーとの間でコマンドを送信できるようにする、Horse Shell として知られるカスタマイズされたファームウェア インプラントで注目を集めました。

本質的に、その目的は、侵害されたホーム ルーターを中間インフラストラクチャとして使用することで悪意のあるアクティビティを難読化し、感染したコンピュータとの通信が別のノードから発生しているように見せることです。

中国の脅威アクターはツールキットを多様化

これらの最新の調査結果は、攻撃者が採用する回避戦術とターゲット設定がますます洗練されていることと、さまざまなターゲットの防御を突破するために使用される幅広いカスタム ツールを示しています。

TinyNote バックドアは、「PDF_Contacts List Of Invitated Deplomatic Members」などの外交関連のファイル名を使用して配布されており、東南アジアおよび東アジアの大使館をターゲットにしているようです。特に、これは Golang で書かれた Mustang Panda アーティファクトの既知の最初のインスタンスです。

このマルウェアの注目すべき点の 1 つは、インドネシアのウイルス対策ソリューションである Smadav をバイパスする能力であり、攻撃者の高いレベルの準備と被害者の環境に対する深い理解を示しています。

Check Point によると、このバックドアは Camaro Dragon の標的を絞ったアプローチと、意図したターゲットに侵入するために彼らが費やした多大な努力を示すものであるとのことです。さまざまなレベルの進歩を備えた追加ツールとバックドアが併用されているということは、攻撃者が攻撃手段を拡大していることを示唆しています。

別の発見で、ThreatMon は、APT41 (Wicked Panda としても知られる) が、Living-off-the-land (LotL) テクニックを使用して、「forfiles」と呼ばれる正規の Windows 実行可能ファイルを使用して PowerShell バックドアを展開していることを発見しました。