„TinyNote Backdoor“ dirba Kinijos grėsmių aktorius

Camaro Dragon, Kinijos nacionalinės valstybės grupė, vėl buvo prijungta prie naujų užpakalinių durų, kurios tarnauja jos žvalgybos tikslams.

Pasak Izraelio kibernetinio saugumo bendrovės „Check Point“, kuri pavadino kenkėjišką programą „TinyNote“, ji veikia kaip pradinė naudingoji apkrova, galinti atlikti pagrindinį kompiuterio surašymą ir komandų vykdymą per „PowerShell“ arba „Goroutines“.

Nors kenkėjiška programinė įranga gali trūkti sudėtingumo, ji kompensuojama naudodama perteklinius metodus, kad išlaikytų prieigą prie pažeistų prieglobų, įskaitant kelias pastovumo užduotis ir įvairius ryšio su įvairiais serveriais būdus.

„Camaro Dragon“ sutampa su kita Kinijos valstybės remiama grupe „Mustang Panda“, kuri veikia mažiausiai nuo 2012 m.

Neseniai šis kolektyvas atkreipė dėmesį į pritaikytą programinės įrangos implantą, žinomą kaip „Horse Shell“, kuris TP-Link maršrutizatorius paverčia tinkliniu tinklu, leidžiančiu perduoti komandas į komandų ir valdymo (C2) serverius ir iš jų.

Iš esmės tikslas yra užmaskuoti kenkėjišką veiklą, naudojant pažeistus namų maršrutizatorius kaip tarpinę infrastruktūrą, leidžiančią atrodyti, kad ryšys su užkrėstais kompiuteriais kyla iš kito mazgo.

Kinijos grėsmių veikėjai paįvairina savo priemonių rinkinį

Šios naujausios išvados rodo vis sudėtingesnę užpuolikų vengimo taktiką ir taikymą, taip pat daugybę pasirinktinių įrankių, naudojamų įvairių taikinių gynybai pažeisti.

„TinyNote“ užpakalinės durys platinamos naudojant su užsienio reikalais susijusius failų pavadinimus, pvz., „PDF_Contacts List Of Invitated Deplomatic Members“, ir atrodo, kad jis skirtas ambasadams Pietryčių ir Rytų Azijoje. Pažymėtina, kad tai pirmasis žinomas „Mustang Panda“ artefaktas, parašytas Golange.

Vienas pastebimų šios kenkėjiškos programos aspektų yra jos gebėjimas apeiti Smadav – antivirusinį sprendimą Indonezijoje, o tai rodo aukštą užpuolikų pasirengimo lygį ir gilų aukų aplinkos supratimą.

„Check Point“ teigimu, užpakalinės durys rodo tikslingą „Camaro Dragon“ požiūrį ir dideles pastangas, kurias jie įdėjo siekdami prasiskverbti į numatytus taikinius. Užpakalinių durų naudojimas kartu su papildomomis skirtingo lygio pažangos priemonėmis rodo, kad grėsmės veikėjai plečia savo atakų arsenalą.

Atskirame atradime ThreatMon nustatė, kad APT41 (taip pat žinomas kaip Wicked Panda) naudojo gyvenimo ne žemėje (LotL) metodus, kad įdiegtų PowerShell užpakalines duris, naudodamas teisėtą Windows vykdomąjį failą, vadinamą "forfiles".