TinyNote Backdoor in dienst van Chinese Threat Actor

Camaro Dragon, een Chinese natiestaatgroep, is opnieuw verbonden met een nieuwe achterdeur die zijn doelstellingen voor het verzamelen van inlichtingen dient.

Volgens het Israëlische cyberbeveiligingsbedrijf Check Point, dat de malware TinyNote noemde, werkt het als een initiële payload die in staat is tot eenvoudige machine-opsomming en uitvoering van opdrachten via PowerShell of Goroutines.

Hoewel de malware misschien niet geavanceerd is, compenseert het dit door redundante technieken te gebruiken om de toegang tot gecompromitteerde hosts te behouden, waaronder meerdere persistentietaken en diverse communicatiemethoden met verschillende servers.

Camaro Dragon overlapt met een andere door de Chinese staat gesponsorde groep genaamd Mustang Panda, die al minstens sinds 2012 actief is.

Onlangs trok dit collectief de aandacht met een op maat gemaakte firmware-implantatie, bekend als Horse Shell, die TP-Link-routers transformeert in een mesh-netwerk, waardoor commando's van en naar command-and-control (C2)-servers kunnen worden verzonden.

In wezen is het doel om kwaadaardige activiteiten te verdoezelen door gecompromitteerde thuisrouters te gebruiken als intermediaire infrastructuur, waardoor de communicatie met geïnfecteerde computers afkomstig lijkt te zijn van een ander knooppunt.

Chinese bedreigingsactoren diversifiëren hun toolkit

Deze nieuwste bevindingen tonen de toenemende verfijning van ontwijkingstactieken en doelwitten die door de aanvallers worden gebruikt, evenals het brede scala aan aangepaste tools die worden gebruikt om de verdediging van verschillende doelen te doorbreken.

De TinyNote-achterdeur wordt verspreid met behulp van bestandsnamen die verband houden met buitenlandse zaken, zoals "PDF_Contactlijst van uitgenodigde Deplomatic-leden", en lijkt zich te richten op ambassades in Zuidoost- en Oost-Azië. Dit is met name het eerste bekende exemplaar van een Mustang Panda-artefact geschreven in Golang.

Een opmerkelijk aspect van deze malware is het vermogen om Smadav, een antivirusoplossing in Indonesië, te omzeilen, wat wijst op de hoge mate van paraatheid en diepgaande kennis van de omgeving van hun slachtoffers.

Volgens Check Point is de achterdeur een weergave van de gerichte aanpak van Camaro Dragon en de aanzienlijke moeite die ze hebben gestoken in het infiltreren van hun beoogde doelen. Het gebruik van de achterdeur naast aanvullende tools met verschillende voortgangsniveaus suggereert dat de dreigingsactoren hun aanvalsarsenaal uitbreiden.

In een afzonderlijke ontdekking ontdekte ThreatMon dat APT41 (ook bekend als Wicked Panda) living-off-the-land (LotL)-technieken gebruikte om een PowerShell-achterdeur in te zetten met behulp van een legitiem Windows-uitvoerbaar bestand genaamd "forfiles".