TinyNote Backdoor

گروه دولت-ملت چین به نام کامارو اژدها یک بار دیگر با ایجاد یک درب پشتی جدید مرتبط با اهداف جمع آوری اطلاعات مرتبط شده است. این درب پشتی که با نام TinyNote شناخته می شود، با استفاده از زبان برنامه نویسی Go ساخته شده است. در حالی که TinyNote ممکن است سطوح پیشرفته‌ای از پیچیدگی را نشان ندهد، با به کارگیری طیف وسیعی از استراتژی‌ها برای اطمینان از دسترسی دائمی به میزبان‌های در معرض خطر، آن را جبران می‌کند.

TinyNote به عنوان یک محموله مرحله اول عمل می کند که در درجه اول بر انجام شمارش اولیه ماشین و اجرای دستورات با استفاده از PowerShell یا Goroutines متمرکز است. این بدافزار از روش‌های متعددی برای حفظ جایگاه خود در سیستم آسیب‌دیده استفاده می‌کند. این شامل انجام چندین کار مداوم و استفاده از تکنیک های مختلف برای برقراری ارتباط با سرورهای آن است.

به نظر می رسد هدف کامارو اژدها حفظ یک حضور انعطاف پذیر و مداوم در میزبان در معرض خطر، به حداکثر رساندن توانایی آن در جمع آوری اطلاعات و به طور بالقوه اجرای فعالیت های مخرب بیشتر باشد. شایان ذکر است که فعالیت کامارو دراگون با اقدامات یک بازیگر تهدید که توسط جامعه امنیت سایبری تحت عنوان موستانگ پاندا ردیابی شده است، همپوشانی دارد. همچنین اعتقاد بر این است که موستانگ پاندا یک گروه جنایت سایبری تحت حمایت دولت از چین است، با نشانه هایی که نشان می دهد حداقل از سال 2012 این گروه سخت کوش بوده است.

TinyNote Backdoor برای هدف قرار دادن سفارت های دولتی استفاده می شود

توزیع TinyNote Backdoor شامل استفاده از نام فایل‌های مرتبط با امور خارجی است، مانند "PDF_ فهرست مخاطبین اعضای دیپلماتیک دعوت شده". کمپین حمله تمرکز عمدی بر هدف قرار دادن سفارتخانه های جنوب شرق و شرق آسیا را نشان می دهد.

یکی از جنبه های مهم این بدافزار خاص، توانایی آن برای فرار از شناسایی توسط Smadav، یک راه حل آنتی ویروس است که معمولا در اندونزی استفاده می شود. این قابلیت نشان دهنده آمادگی کامل و دانش گسترده مهاجمان در مورد محیط قربانیان خود و در کل منطقه است.

استقرار TinyNote Backdoor ماهیت هدفمند عملیات کامارو دراگون و تحقیقات گسترده ای که آنها قبل از نفوذ به سیستم قربانیان مورد نظر خود انجام می دهند را نشان می دهد. عوامل تهدید با استفاده همزمان از این درب پشتی در کنار ابزارهای دیگر با سطوح مختلف پیچیدگی فنی، تلاش های فعال خود را برای تنوع بخشیدن به زرادخانه حمله خود نشان می دهند.

مجرمان سایبری به گسترش و تکامل تکنیک های خود و تهدید آرسنال ادامه می دهند.

این یافته‌ها تاکتیک‌های پیشرفته‌ای را که توسط کامارو دراگون به کار می‌رود، روشن می‌کند و رویکرد استراتژیک و تعهد آن‌ها را به انطباق تکنیک‌هایشان برای به حداکثر رساندن اثربخشی و دستیابی به اهدافشان برجسته می‌کند. استقرار TinyNote Backdoor بر تمرکز این گروه بر اهداف خاص و تلاش مستمر آنها برای جلوتر ماندن در چشم انداز در حال تحول تهدیدات سایبری تأکید می کند.

موستانگ پاندا با توسعه یک سفت‌افزار سفارشی به نام Horse Shell مورد توجه قرار گرفت. این ایمپلنت به طور خاص روترهای TP-Link را هدف قرار می دهد و آنها را به یک شبکه مش تبدیل می کند که امکان انتقال دستورات بین سرورهای Command-and-Control (C2) و دستگاه های آلوده را فراهم می کند.

اساساً، هدف این ایمپلنت مخفی کردن فعالیت‌های مضر با استفاده از روترهای خانگی به‌عنوان زیرساخت میانی است. با انجام این کار، مهاجمان شبکه‌ای ایجاد می‌کنند که به ارتباطات با رایانه‌های آلوده اجازه می‌دهد به نظر از یک گره دیگر سرچشمه می‌گیرند و لایه‌ای از پیچیدگی بیشتری را به عملیات خود اضافه می‌کنند.

یافته‌های اخیر نه تنها پیشرفت و پیچیدگی تاکتیک‌های فرار مهاجمان را نشان می‌دهد، بلکه ماهیت مداوم استراتژی‌های هدف‌گیری آنها را نیز در حال تکامل نشان می‌دهد. علاوه بر این، مهاجمان طیف متنوعی از ابزارهای سفارشی را به کار می گیرند که برای نقض دفاع اهداف مختلف طراحی شده اند و بر تعهد خود به استفاده از یک رویکرد جامع و تطبیقی تأکید می کنند.

این پیشرفت‌ها پیچیدگی و قابلیت‌های روزافزون گروه‌های مجرم سایبری را نشان می‌دهد، زیرا آنها به طور مداوم تکنیک‌ها و ابزارهای خود را برای فرار از شناسایی و به خطر انداختن طیف گسترده‌ای از اهداف اصلاح می‌کنند. استفاده از ایمپلنت سفت‌افزار Horse Shell نمونه‌ای از نبوغ آن‌ها در تغییر کاربری زیرساخت‌های موجود برای اهداف تهدیدآمیز است، و چالش‌های پیش روی مدافعان را در شناسایی و کاهش این تهدیدات پیچیده تقویت می‌کند.