Zadní vrátka TinyNote

Čínská národní státní skupina s názvem Camaro Dragon byla opět spojena s vytvořením nových zadních vrátek, které jsou v souladu s jejími cíli shromažďování zpravodajských informací. Tato zadní vrátka, známá jako TinyNote, jsou vytvořena pomocí programovacího jazyka Go. I když TinyNote nemusí vykazovat pokročilé úrovně sofistikovanosti, kompenzuje to tím, že využívá řadu strategií k zajištění trvalého přístupu ke kompromitovaným hostitelům.

TinyNote funguje jako první fáze, která se primárně zaměřuje na provádění základního výčtu strojů a provádění příkazů pomocí prostředí PowerShell nebo Goroutines. Malware využívá několik metod k udržení oporu v napadeném systému. To zahrnuje provádění několika úloh persistence a využívání různých technik pro komunikaci s jejími servery.

Zdá se, že cílem draka Camaro je udržovat odolnou a trvalou přítomnost v kompromitovaném hostiteli, maximalizovat jeho schopnost shromažďovat informace a potenciálně provádět další škodlivé aktivity. Stojí za zmínku, že aktivita Camaro Dragon se překrývá s akcemi hrozebného aktéra sledovaného jako Mustang Panda komunitou kybernetické bezpečnosti. Mustang Panda je také považován za státem podporovanou skupinu kyberzločinu z Číny, přičemž známky naznačují, že je pilná nejméně od roku 2012.

Zadní vrátka TinyNote se používají k cílení na vládní ambasády

Distribuce TinyNote Backdoor zahrnuje použití názvů souborů, které se týkají zahraničních záležitostí, jako například 'PDF_ Contacts List Of Invitated Diplomatic Members.' Útočná kampaň ukazuje záměrné zaměření na zacílení na velvyslanectví jihovýchodní a východní Asie.

Jedním z významných aspektů tohoto konkrétního malwaru je jeho schopnost vyhnout se detekci pomocí Smadav, antivirového řešení běžně používaného v Indonésii. Tato schopnost dokládá důkladnou přípravu a rozsáhlé znalosti útočníků ohledně prostředí jejich obětí a regionu jako celku.

Rozmístění zadních vrátek TinyNote ukazuje cílenou povahu operací Camaro Dragon a rozsáhlý výzkum, který provádějí před infiltrací do systémů jejich zamýšlených obětí. Současným využitím těchto zadních vrátek spolu s dalšími nástroji s různou úrovní technické vyspělosti demonstrují aktéři hrozeb své aktivní úsilí o diverzifikaci svého útočného arzenálu.

Kyberzločinci nadále rozšiřují a vyvíjejí své techniky a ohrožují arzenál

Tato zjištění vrhají světlo na pokročilé taktiky používané Camaro Dragon, zdůrazňují jejich strategický přístup a odhodlání přizpůsobit své techniky tak, aby maximalizovaly efektivitu a dosáhly svých cílů. Nasazení TinyNote Backdoor podtrhuje zaměření skupiny na konkrétní cíle a jejich neustálé úsilí udržet si náskok v rozvíjejícím se prostředí kybernetických hrozeb.

Mustang Panda si získal pozornost vývojem vlastního firmware implantátu známého jako Horse Shell. Tento implantát se specificky zaměřuje na směrovače TP-Link a přeměňuje je na síť typu mesh, která umožňuje přenos příkazů mezi servery Command-and-Control (C2) a infikovanými zařízeními.

Účelem tohoto implantátu je v podstatě zatemnit škodlivé aktivity využitím kompromitovaných domácích směrovačů jako zprostředkující infrastruktury. Útočníci tak vytvoří síť, která umožňuje, aby komunikace s infikovanými počítači vypadala, že pochází z jiného uzlu, což přidává další vrstvu složitosti jejich operacím.

Nedávná zjištění zdůrazňují nejen pokrok a propracovanost únikových taktik útočníků, ale také neustále se vyvíjející povahu jejich strategií zaměřování. Útočníci navíc využívají rozmanitou škálu vlastních nástrojů přizpůsobených k prolomení obrany různých cílů, což zdůrazňuje jejich odhodlání používat komplexní a adaptivní přístup.

Tento vývoj ukazuje rostoucí složitost a schopnosti kyberzločineckých skupin, které neustále zdokonalují své techniky a nástroje, aby se vyhnuly odhalení a kompromitovaly širokou škálu cílů. Použití implantátu firmwaru Horse Shell je příkladem jejich vynalézavosti při přeměně stávající infrastruktury pro ohrožující účely a zesiluje výzvy, kterým čelí obránci při odhalování a zmírňování těchto sofistikovaných hrozeb.