TinyNote Backdoor używany przez chińskiego aktora
Camaro Dragon, chińska grupa państw narodowych, po raz kolejny została połączona z nowym backdoorem, który służy jej celom gromadzenia danych wywiadowczych.
Według izraelskiej firmy zajmującej się cyberbezpieczeństwem Check Point, która nazwała złośliwe oprogramowanie TinyNote, działa ono jako początkowy ładunek zdolny do podstawowego wyliczania maszyn i wykonywania poleceń za pośrednictwem PowerShell lub Goroutines.
Chociaż złośliwemu oprogramowaniu może brakować wyrafinowania, rekompensuje to stosowanie nadmiarowych technik w celu utrzymania dostępu do zaatakowanych hostów, w tym wielu zadań związanych z trwałością i różnych metod komunikacji z różnymi serwerami.
Camaro Dragon pokrywa się z inną chińską grupą sponsorowaną przez państwo o nazwie Mustang Panda, która działa od co najmniej 2012 roku.
Niedawno kolektyw ten zwrócił na siebie uwagę dzięki dostosowanemu implantowi oprogramowania układowego znanemu jako Horse Shell, który przekształca routery TP-Link w sieć kratową, umożliwiając przesyłanie poleceń do i z serwerów dowodzenia i kontroli (C2).
Zasadniczo celem jest zaciemnianie złośliwej aktywności poprzez wykorzystanie zainfekowanych routerów domowych jako infrastruktury pośredniczącej, dzięki czemu komunikacja z zainfekowanymi komputerami wydaje się pochodzić z innego węzła.
Chińscy cyberprzestępcy dywersyfikują swój zestaw narzędzi
Te najnowsze odkrycia pokazują rosnące wyrafinowanie taktyk unikania ataków i wybierania celów stosowanych przez atakujących, a także szeroką gamę niestandardowych narzędzi wykorzystywanych do przełamywania zabezpieczeń różnych celów.
Backdoor TinyNote jest dystrybuowany przy użyciu nazw plików związanych ze sprawami zagranicznymi, takich jak „PDF_Contacts List Of Invitated Deplomatic Members” i wydaje się atakować ambasady w Azji Południowo-Wschodniej i Wschodniej. Warto zauważyć, że jest to pierwszy znany przypadek artefaktu Mustanga Pandy napisanego w Golang.
Jednym z godnych uwagi aspektów tego złośliwego oprogramowania jest jego zdolność do omijania Smadav, rozwiązania antywirusowego w Indonezji, co wskazuje na wysoki poziom gotowości atakujących i głębokie zrozumienie środowisk ich ofiar.
Według Check Point, backdoor jest pokazem ukierunkowanego podejścia Camaro Dragon i znacznego wysiłku, jaki wkładają w infiltrację zamierzonych celów. Wykorzystanie backdoora wraz z dodatkowymi narzędziami o różnym stopniu zaawansowania sugeruje, że cyberprzestępcy poszerzają swój arsenał ataków.
W oddzielnym odkryciu ThreatMon odkrył, że APT41 (znany również jako Wicked Panda) wykorzystywał techniki życia poza ziemią (LotL) do wdrażania backdoora PowerShell przy użyciu legalnego pliku wykonywalnego Windows o nazwie „forfiles”.