中国威胁者使用 TinyNote 后门
中国民族国家组织 Camaro Dragon 再次与其服务于其情报收集目标的新后门有关。
根据将恶意软件命名为 TinyNote 的以色列网络安全公司 Check Point 的说法,它作为初始有效载荷运行,能够通过 PowerShell 或 Goroutines 进行基本的机器枚举和命令执行。
尽管恶意软件可能缺乏复杂性,但它通过使用冗余技术来维持对受感染主机的访问来进行补偿,包括多个持久性任务和与各种服务器的不同通信方法。
Camaro Dragon 与另一个由中国政府赞助的团体 Mustang Panda 重叠,后者至少从 2012 年开始活跃。
最近,这个集体通过一种名为 Horse Shell 的定制固件植入引起了人们的注意,它将 TP-Link 路由器转换为网状网络,从而能够在命令和控制 (C2) 服务器之间传输命令。
从本质上讲,目标是通过使用受感染的家庭路由器作为中间基础设施来混淆恶意活动,从而使与受感染计算机的通信看起来像是来自不同的节点。
中国威胁者使他们的工具包多样化
这些最新发现表明,攻击者采用的规避策略和目标越来越复杂,以及用于破坏各种目标防御的自定义工具范围越来越广。
TinyNote 后门使用与外交事务相关的文件名进行分发,例如“PDF_Contacts List Of Invitated Deplomatic Members”,似乎以东南亚和东亚的大使馆为目标。值得注意的是,这是已知的第一个用 Golang 编写的 Mustang Panda 工件实例。
该恶意软件的一个值得注意的方面是它能够绕过印度尼西亚的一种防病毒解决方案 Smadav,这表明攻击者的准备程度很高并且对受害者的环境有深入的了解。
根据 Check Point 的说法,后门展示了 Camaro Dragon 的针对性方法以及他们为渗透预定目标所付出的巨大努力。将后门与具有不同进步水平的其他工具一起使用表明威胁行为者正在扩大他们的攻击武器库。
在另一项发现中,ThreatMon 发现 APT41(也称为 Wicked Panda)采用离地生活 (LotL) 技术,使用名为“forfiles”的合法 Windows 可执行文件部署 PowerShell 后门。