TinyNote Backdoor

Китайската национална държавна група, наречена Camaro Dragon, отново е свързана със създаването на нова задна врата, която е в съответствие с нейните цели за събиране на разузнавателна информация. Тази задна врата, известна като TinyNote, е изградена с помощта на езика за програмиране Go. Въпреки че TinyNote може да не показва високи нива на сложност, той компенсира това, като използва набор от стратегии за осигуряване на постоянен достъп до компрометираните хостове.

TinyNote работи като полезен товар от първи етап, фокусиран основно върху извършване на основно изброяване на машината и изпълнение на команди с помощта на PowerShell или Goroutines. Злонамереният софтуер използва множество методи за поддържане на опора върху компрометираната система. Това включва изпълнение на няколко задачи за постоянство и използване на различни техники за комуникация със сървърите.

Целта на Camaro Dragon изглежда е поддържането на устойчиво и постоянно присъствие в компрометирания хост, като се увеличи максимално способността му да събира информация и потенциално да извършва допълнителни злонамерени дейности. Струва си да се отбележи, че дейността на Camaro Dragon се припокрива с действията на заплаха, проследена като Mustang Panda от общността за киберсигурност. Смята се също, че Mustang Panda е държавно спонсорирана група за киберпрестъпления от Китай, със знаци, показващи, че е била усърдна поне от 2012 г.

Задната врата на TinyNote се използва за насочване към правителствени посолства

Разпространението на TinyNote Backdoor включва използването на имена на файлове, които са свързани с външните работи, като например „PDF_ Списък с контакти на поканени дипломатически членове“. Кампанията за атака показва умишлен фокус върху посолствата на Югоизточна и Източна Азия.

Един важен аспект на този конкретен зловреден софтуер е способността му да избягва откриването от Smadav, антивирусно решение, което обикновено се използва в Индонезия. Тази способност демонстрира задълбочената подготовка и обширните познания, притежавани от нападателите по отношение на средата на техните жертви и региона като цяло.

Внедряването на TinyNote Backdoor показва целенасочения характер на операциите на Camaro Dragon и задълбочените изследвания, които те предприемат, преди да проникнат в системите на предвидените жертви. Чрез едновременното използване на тази задна вратичка заедно с други инструменти с различни нива на техническа сложност, участниците в заплахата демонстрират активните си усилия да диверсифицират своя арсенал за атака.

Киберпрестъпниците продължават да разширяват и развиват своите техники и заплашителен арсенал

Тези открития хвърлят светлина върху усъвършенстваните тактики, използвани от Camaro Dragon, подчертавайки техния стратегически подход и ангажимент за адаптиране на техните техники, за да увеличат максимално ефективността и да постигнат целите си. Внедряването на TinyNote Backdoor подчертава фокуса на групата върху конкретни цели и техните непрекъснати усилия да останат напред в развиващия се пейзаж на кибернетични заплахи.

Mustang Panda привлече вниманието с разработването на персонализиран фърмуерен имплант, известен като Horse Shell. Този имплант специално е насочен към рутерите на TP-Link, като ги трансформира в мрежова мрежа, която позволява предаването на команди между Command-and-Control (C2) сървърите и заразените устройства.

По същество целта на този имплант е да скрие вредни дейности чрез използване на компрометирани домашни рутери като междинна инфраструктура. Правейки това, нападателите създават мрежа, която позволява комуникациите със заразени компютри да изглеждат сякаш произхождащи от различен възел, добавяйки допълнителен слой сложност към техните операции.

Последните констатации подчертават не само напредъка и усъвършенстването на тактиките за избягване на нападателите, но също така и постоянно развиващия се характер на техните стратегии за насочване. Освен това нападателите използват разнообразна гама от персонализирани инструменти, пригодени да пробият защитата на различни цели, подчертавайки своя ангажимент да използват цялостен и адаптивен подход.

Тези разработки демонстрират нарастващата сложност и възможности на киберпрестъпните групи, тъй като те непрекъснато усъвършенстват своите техники и инструменти, за да избегнат откриването и да компрометират широк кръг от цели. Използването на фърмуерния имплант Horse Shell е пример за тяхната изобретателност в пренасочването на съществуваща инфраструктура за заплашителни цели, усилвайки предизвикателствата, пред които са изправени защитниците при откриването и смекчаването на тези сложни заплахи.