TinyNote Backdoor empregado por ator chinês de ameaças
O Camaro Dragon, um grupo de estado-nação chinês, foi mais uma vez conectado a um novo backdoor que atende aos seus objetivos de coleta de informações.
De acordo com a empresa israelense de segurança cibernética Check Point, que nomeou o malware TinyNote, ele opera como uma carga útil inicial capaz de enumeração básica de máquinas e execução de comandos via PowerShell ou Goroutines.
Embora o malware possa carecer de sofisticação, ele compensa empregando técnicas redundantes para manter o acesso a hosts comprometidos, incluindo múltiplas tarefas de persistência e diversos métodos de comunicação com vários servidores.
O Camaro Dragon se sobrepõe a outro grupo patrocinado pelo estado chinês chamado Mustang Panda, que está ativo desde pelo menos 2012.
Recentemente, esse coletivo chamou a atenção com um implante de firmware customizado conhecido como Horse Shell, que transforma roteadores TP-Link em uma rede mesh, permitindo a transmissão de comandos de e para servidores de comando e controle (C2).
Em essência, o objetivo é ofuscar a atividade maliciosa usando roteadores domésticos comprometidos como infraestrutura intermediária, permitindo que a comunicação com computadores infectados pareça originar-se de um nó diferente.
Agentes de ameaças chineses diversificam seu kit de ferramentas
Essas últimas descobertas demonstram a crescente sofisticação das táticas de evasão e direcionamento empregadas pelos invasores, bem como a ampla gama de ferramentas personalizadas usadas para violar as defesas de vários alvos.
O backdoor TinyNote é distribuído usando nomes de arquivos relacionados a assuntos externos, como "PDF_Contacts List Of Convitated Deplomatic Members" e parece ter como alvo embaixadas no sudeste e leste da Ásia. Notavelmente, esta é a primeira instância conhecida de um artefato Mustang Panda escrito em Golang.
Um aspecto notável desse malware é sua capacidade de contornar o Smadav, uma solução antivírus da Indonésia, indicando o alto nível de preparação dos invasores e o profundo conhecimento dos ambientes de suas vítimas.
De acordo com a Check Point, a porta dos fundos é uma exibição da abordagem direcionada do Camaro Dragon e do esforço considerável que eles colocam para se infiltrar em seus alvos pretendidos. O uso do backdoor juntamente com ferramentas adicionais com diferentes níveis de avanço sugere que os agentes da ameaça estão ampliando seu arsenal de ataque.
Em uma descoberta separada, o ThreatMon descobriu que o APT41 (também conhecido como Wicked Panda) empregou técnicas de vida fora da terra (LotL) para implantar um backdoor do PowerShell usando um executável legítimo do Windows chamado "forfiles".