TinyNote Backdoor anställd av kinesisk hotskådespelare
Camaro Dragon, en kinesisk nationalstatsgrupp, har återigen kopplats till en ny bakdörr som tjänar dess underrättelseinsamlingsmål.
Enligt det israeliska cybersäkerhetsföretaget Check Point, som döpte skadlig programvara till TinyNote, fungerar den som en initial nyttolast som kan utföra grundläggande maskinuppräkning och kommandoexekvering via PowerShell eller Goroutines.
Även om skadlig programvara kanske saknar sofistikering, kompenserar den genom att använda redundanta tekniker för att upprätthålla åtkomst till komprometterade värdar, inklusive flera beständighetsuppgifter och olika kommunikationsmetoder med olika servrar.
Camaro Dragon överlappar med en annan kinesisk statssponsrad grupp som heter Mustang Panda, som har varit aktiv sedan åtminstone 2012.
Nyligen uppmärksammades detta kollektiv med ett anpassat firmware-implantat som kallas Horse Shell, som förvandlar TP-Link-routrar till ett mesh-nätverk, vilket möjliggör överföring av kommandon till och från kommando-och-kontroll-servrar (C2).
I huvudsak är målet att fördunkla skadlig aktivitet genom att använda komprometterade hemroutrar som mellanliggande infrastruktur, vilket gör att kommunikation med infekterade datorer ser ut att komma från en annan nod.
Kinesiska hotskådespelare diversifierar sin verktygslåda
Dessa senaste rön visar den ökande sofistikeringen av undanflyktstaktik och inriktning som angriparna använder, såväl som det breda utbudet av anpassade verktyg som används för att bryta mot olika måls försvar.
TinyNote-bakdörren distribueras med filnamn relaterade till utrikesaffärer, som "PDF_Contacts List Of Invitated Deplomatic Members", och verkar rikta sig mot ambassader i Sydostasien och Östasien. Noterbart är att detta är det första kända exemplet av en Mustang Panda-artefakt skriven i Golang.
En anmärkningsvärd aspekt av denna skadliga programvara är dess förmåga att kringgå Smadav, en antiviruslösning i Indonesien, vilket indikerar angriparnas höga beredskapsnivå och djupa förståelse för sina offers miljöer.
Enligt Check Point är bakdörren en visning av Camaro Dragons riktade tillvägagångssätt och den avsevärda ansträngning de lägger ner på att infiltrera sina avsedda mål. Användningen av bakdörren tillsammans med ytterligare verktyg med olika framstegsnivåer tyder på att hotaktörerna breddar sin attackarsenal.
I en separat upptäckt fann ThreatMon att APT41 (även känd som Wicked Panda) använde living-off-the-land (LotL)-tekniker för att distribuera en PowerShell-bakdörr med en legitim Windows-körbar som kallas "forfiles".
