TinyNote مستتر

مرة أخرى ، ارتبطت مجموعة الدولة القومية الصينية المسماة كامارو دراجون بإنشاء باب خلفي جديد يتوافق مع أهدافها المتمثلة في جمع المعلومات الاستخبارية. تم بناء هذا الباب الخلفي ، المعروف باسم TinyNote ، باستخدام لغة برمجة Go. في حين أن TinyNote قد لا تظهر مستويات متقدمة من التطور ، إلا أنها تعوض عن ذلك من خلال استخدام مجموعة من الاستراتيجيات لضمان الوصول المستمر إلى المضيفين المخترقين.

تعمل TinyNote كحمولة للمرحلة الأولى ، تركز بشكل أساسي على إجراء تعداد الماكينة الأساسي وتنفيذ الأوامر باستخدام إما PowerShell أو Goroutines. تستخدم البرامج الضارة طرقًا متعددة للحفاظ على موطئ قدم في النظام المخترق. يتضمن ذلك أداء العديد من مهام المثابرة واستخدام تقنيات مختلفة للتواصل مع خوادمها.

يبدو أن الهدف من Camaro Dragon هو الحفاظ على وجود مرن ومستمر داخل المضيف المخترق ، مما يزيد من قدرته على جمع المعلومات الاستخبارية وربما تنفيذ المزيد من الأنشطة الخبيثة. ومن الجدير بالذكر أن نشاط كامارو دراجون يتداخل مع تصرفات أحد الفاعلين في التهديد الذي تم تعقبه على أنه موستانج باندا من قبل مجتمع الأمن السيبراني. يُعتقد أيضًا أن Mustang Panda هي مجموعة جرائم إلكترونية ترعاها الدولة من الصين ، مع وجود علامات تشير إلى أنها كانت مجتهدة منذ عام 2012 على الأقل.

يستخدم TinyNote Backdoor لاستهداف السفارات الحكومية

يتضمن توزيع TinyNote Backdoor استخدام أسماء الملفات ذات الصلة بالشؤون الخارجية ، مثل "PDF_ Contacts List of Invited Diplomatic members". تُظهر حملة الهجوم تركيزًا متعمدًا على استهداف سفارات جنوب شرق وشرق آسيا.

أحد الجوانب المهمة لهذا البرنامج الضار بالتحديد هو قدرته على التهرب من الكشف عن طريق Smadav ، وهو حل مضاد للفيروسات شائع الاستخدام في إندونيسيا. توضح هذه القدرة التحضير الشامل والمعرفة الواسعة التي يمتلكها المهاجمون فيما يتعلق ببيئات ضحاياهم والمنطقة ككل.

يُظهر نشر TinyNote Backdoor الطبيعة المستهدفة لعمليات كامارو دراجون والبحث المكثف الذي يقومون به قبل التسلل إلى أنظمة الضحايا المقصودين. من خلال استخدام هذا الباب الخلفي في نفس الوقت جنبًا إلى جنب مع أدوات أخرى بمستويات متفاوتة من التطور التقني ، يُظهر ممثلو التهديد جهودهم النشطة لتنويع ترسانة هجومهم.

يواصل مجرمو الإنترنت توسيع وتطوير تقنياتهم وتهديد ترسانة أرسنال

تسلط هذه النتائج الضوء على التكتيكات المتقدمة التي يستخدمها كامارو دراجون ، مسلطة الضوء على نهجهم الاستراتيجي والتزامهم بتكييف تقنياتهم لتحقيق أقصى قدر من الفعالية وتحقيق أهدافهم. يؤكد نشر TinyNote Backdoor تركيز المجموعة على أهداف محددة وجهودهم المستمرة للبقاء في المقدمة في المشهد المتطور للتهديدات السيبرانية.

استحوذت موستانج باندا على الاهتمام من خلال تطوير غرسة مخصصة للبرامج الثابتة تُعرف باسم Horse Shell. تستهدف هذه الغرسة على وجه التحديد أجهزة توجيه TP-Link ، وتحولها إلى شبكة متداخلة تتيح نقل الأوامر بين خوادم الأوامر والتحكم (C2) والأجهزة المصابة.

في الأساس ، الغرض من هذا الزرع هو تشويش الأنشطة الضارة من خلال استخدام أجهزة التوجيه المنزلية المخترقة كبنية تحتية وسيطة. من خلال القيام بذلك ، ينشئ المهاجمون شبكة تسمح للاتصالات مع أجهزة الكمبيوتر المصابة بالظهور وكأنها تنشأ من عقدة مختلفة ، مما يضيف طبقة إضافية من التعقيد إلى عملياتهم.

تسلط النتائج الأخيرة الضوء ليس فقط على تقدم وتعقيد أساليب المراوغة للمهاجمين ولكن أيضًا على الطبيعة المتطورة باستمرار لاستراتيجيات الاستهداف الخاصة بهم. علاوة على ذلك ، يستخدم المهاجمون مجموعة متنوعة من الأدوات المخصصة المصممة لخرق دفاعات الأهداف المختلفة ، مما يؤكد التزامهم باستخدام نهج شامل وقابل للتكيف.

تُظهر هذه التطورات التعقيد المتزايد وقدرات مجموعات مجرمي الإنترنت حيث يقومون باستمرار بتحسين تقنياتهم وأدواتهم لتفادي الكشف وتعريض مجموعة واسعة من الأهداف للخطر. يجسد استخدام غرسة برنامج Horse Shell الثابت براعتهم في إعادة استخدام البنية التحتية الحالية لأغراض تهديدية ، مما يضخم التحديات التي يواجهها المدافعون في اكتشاف هذه التهديدات المعقدة والتخفيف من حدتها.