中國威脅者使用 TinyNote 後門
中國民族國家組織 Camaro Dragon 再次與其服務於其情報收集目標的新後門有關。
根據將惡意軟件命名為 TinyNote 的以色列網絡安全公司 Check Point 的說法,它作為初始有效載荷運行,能夠通過 PowerShell 或 Goroutines 進行基本的機器枚舉和命令執行。
儘管惡意軟件可能缺乏複雜性,但它通過使用冗餘技術來維持對受感染主機的訪問來進行補償,包括多個持久性任務和與各種服務器的不同通信方法。
Camaro Dragon 與另一個由中國政府贊助的團體 Mustang Panda 重疊,後者至少從 2012 年開始活躍。
最近,這個集體通過一種名為 Horse Shell 的定制固件植入引起了人們的注意,它將 TP-Link 路由器轉換為網狀網絡,從而能夠在命令和控制 (C2) 服務器之間傳輸命令。
從本質上講,目標是通過使用受感染的家庭路由器作為中間基礎設施來混淆惡意活動,從而使與受感染計算機的通信看起來像是來自不同的節點。
中國威脅者使他們的工具包多樣化
這些最新發現表明,攻擊者採用的規避策略和目標越來越複雜,以及用於破壞各種目標防禦的自定義工具範圍越來越廣。
TinyNote 後門使用與外交事務相關的文件名進行分發,例如“PDF_Contacts List Of Invitated Deplomatic Members”,似乎以東南亞和東亞的大使館為目標。值得注意的是,這是已知的第一個用 Golang 編寫的 Mustang Panda 工件實例。
該惡意軟件的一個值得注意的方面是它能夠繞過印度尼西亞的一種防病毒解決方案 Smadav,這表明攻擊者的準備程度很高並且對受害者的環境有深入的了解。
根據 Check Point 的說法,後門展示了 Camaro Dragon 的針對性方法以及他們為滲透預定目標所付出的巨大努力。將後門與具有不同進步水平的其他工具一起使用表明威脅行為者正在擴大他們的攻擊武器庫。
在另一項發現中,ThreatMon 發現 APT41(也稱為 Wicked Panda)採用離地生活 (LotL) 技術,使用名為“forfiles”的合法 Windows 可執行文件部署 PowerShell 後門。