Бэкдор TinyNote, используемый китайским злоумышленником

Camaro Dragon, китайская группа национального государства, снова была подключена к новому бэкдору, который служит ее целям сбора разведданных.

По данным израильской компании по кибербезопасности Check Point, которая назвала вредоносное ПО TinyNote, оно работает как начальная полезная нагрузка, способная к базовому перечислению машин и выполнению команд через PowerShell или Goroutines.

Несмотря на то, что вредоносному ПО может не хватать изощренности, оно компенсирует это за счет использования избыточных методов для поддержания доступа к скомпрометированным хостам, включая несколько задач сохранения и различные методы связи с различными серверами.

Camaro Dragon пересекается с другой спонсируемой государством китайской группой под названием Mustang Panda, которая действует как минимум с 2012 года.

Недавно этот коллектив привлек внимание специализированным микропрограммным имплантом, известным как Horse Shell, который превращает маршрутизаторы TP-Link в ячеистую сеть, позволяя передавать команды на серверы управления и контроля (C2) и с них.

По сути, цель состоит в том, чтобы скрыть вредоносную активность, используя скомпрометированные домашние маршрутизаторы в качестве промежуточной инфраструктуры, что позволяет создать впечатление, что связь с зараженными компьютерами исходит из другого узла.

Китайские субъекты угроз диверсифицируют свой инструментарий

Эти последние результаты демонстрируют все более изощренные тактики уклонения и нацеливания, используемые злоумышленниками, а также широкий спектр пользовательских инструментов, используемых для взлома защиты различных целей.

Бэкдор TinyNote распространяется с использованием имен файлов, связанных с иностранными делами, таких как «PDF_Contacts List Of Invited Deplomatic Members», и, по-видимому, нацелен на посольства в Юго-Восточной и Восточной Азии. Примечательно, что это первый известный экземпляр артефакта Mustang Panda, написанный на Golang.

Одним из примечательных аспектов этого вредоносного ПО является его способность обходить Smadav, антивирусное решение в Индонезии, что свидетельствует о высоком уровне готовности злоумышленников и глубоком понимании среды их жертв.

Согласно Check Point, бэкдор является демонстрацией целенаправленного подхода Camaro Dragon и значительных усилий, которые они приложили для проникновения в намеченные цели. Использование бэкдора вместе с дополнительными инструментами разного уровня развития свидетельствует о том, что злоумышленники расширяют свой арсенал атак.

В ходе отдельного открытия ThreatMon обнаружил, что APT41 (также известная как Wicked Panda) использовала методы «жить вне земли» (LotL) для развертывания бэкдора PowerShell с использованием законного исполняемого файла Windows, называемого «forfiles».