TinyNote Backdoor
گروه دولت-ملت چین به نام کامارو اژدها یک بار دیگر با ایجاد یک درب پشتی جدید مرتبط با اهداف جمع آوری اطلاعات مرتبط شده است. این درب پشتی که با نام TinyNote شناخته می شود، با استفاده از زبان برنامه نویسی Go ساخته شده است. در حالی که TinyNote ممکن است سطوح پیشرفتهای از پیچیدگی را نشان ندهد، با به کارگیری طیف وسیعی از استراتژیها برای اطمینان از دسترسی دائمی به میزبانهای در معرض خطر، آن را جبران میکند.
TinyNote به عنوان یک محموله مرحله اول عمل می کند که در درجه اول بر انجام شمارش اولیه ماشین و اجرای دستورات با استفاده از PowerShell یا Goroutines متمرکز است. این بدافزار از روشهای متعددی برای حفظ جایگاه خود در سیستم آسیبدیده استفاده میکند. این شامل انجام چندین کار مداوم و استفاده از تکنیک های مختلف برای برقراری ارتباط با سرورهای آن است.
به نظر می رسد هدف کامارو اژدها حفظ یک حضور انعطاف پذیر و مداوم در میزبان در معرض خطر، به حداکثر رساندن توانایی آن در جمع آوری اطلاعات و به طور بالقوه اجرای فعالیت های مخرب بیشتر باشد. شایان ذکر است که فعالیت کامارو دراگون با اقدامات یک بازیگر تهدید که توسط جامعه امنیت سایبری تحت عنوان موستانگ پاندا ردیابی شده است، همپوشانی دارد. همچنین اعتقاد بر این است که موستانگ پاندا یک گروه جنایت سایبری تحت حمایت دولت از چین است، با نشانه هایی که نشان می دهد حداقل از سال 2012 این گروه سخت کوش بوده است.
TinyNote Backdoor برای هدف قرار دادن سفارت های دولتی استفاده می شود
توزیع TinyNote Backdoor شامل استفاده از نام فایلهای مرتبط با امور خارجی است، مانند "PDF_ فهرست مخاطبین اعضای دیپلماتیک دعوت شده". کمپین حمله تمرکز عمدی بر هدف قرار دادن سفارتخانه های جنوب شرق و شرق آسیا را نشان می دهد.
یکی از جنبه های مهم این بدافزار خاص، توانایی آن برای فرار از شناسایی توسط Smadav، یک راه حل آنتی ویروس است که معمولا در اندونزی استفاده می شود. این قابلیت نشان دهنده آمادگی کامل و دانش گسترده مهاجمان در مورد محیط قربانیان خود و در کل منطقه است.
استقرار TinyNote Backdoor ماهیت هدفمند عملیات کامارو دراگون و تحقیقات گسترده ای که آنها قبل از نفوذ به سیستم قربانیان مورد نظر خود انجام می دهند را نشان می دهد. عوامل تهدید با استفاده همزمان از این درب پشتی در کنار ابزارهای دیگر با سطوح مختلف پیچیدگی فنی، تلاش های فعال خود را برای تنوع بخشیدن به زرادخانه حمله خود نشان می دهند.
مجرمان سایبری به گسترش و تکامل تکنیک های خود و تهدید آرسنال ادامه می دهند.
این یافتهها تاکتیکهای پیشرفتهای را که توسط کامارو دراگون به کار میرود، روشن میکند و رویکرد استراتژیک و تعهد آنها را به انطباق تکنیکهایشان برای به حداکثر رساندن اثربخشی و دستیابی به اهدافشان برجسته میکند. استقرار TinyNote Backdoor بر تمرکز این گروه بر اهداف خاص و تلاش مستمر آنها برای جلوتر ماندن در چشم انداز در حال تحول تهدیدات سایبری تأکید می کند.
موستانگ پاندا با توسعه یک سفتافزار سفارشی به نام Horse Shell مورد توجه قرار گرفت. این ایمپلنت به طور خاص روترهای TP-Link را هدف قرار می دهد و آنها را به یک شبکه مش تبدیل می کند که امکان انتقال دستورات بین سرورهای Command-and-Control (C2) و دستگاه های آلوده را فراهم می کند.
اساساً، هدف این ایمپلنت مخفی کردن فعالیتهای مضر با استفاده از روترهای خانگی بهعنوان زیرساخت میانی است. با انجام این کار، مهاجمان شبکهای ایجاد میکنند که به ارتباطات با رایانههای آلوده اجازه میدهد به نظر از یک گره دیگر سرچشمه میگیرند و لایهای از پیچیدگی بیشتری را به عملیات خود اضافه میکنند.
یافتههای اخیر نه تنها پیشرفت و پیچیدگی تاکتیکهای فرار مهاجمان را نشان میدهد، بلکه ماهیت مداوم استراتژیهای هدفگیری آنها را نیز در حال تکامل نشان میدهد. علاوه بر این، مهاجمان طیف متنوعی از ابزارهای سفارشی را به کار می گیرند که برای نقض دفاع اهداف مختلف طراحی شده اند و بر تعهد خود به استفاده از یک رویکرد جامع و تطبیقی تأکید می کنند.
این پیشرفتها پیچیدگی و قابلیتهای روزافزون گروههای مجرم سایبری را نشان میدهد، زیرا آنها به طور مداوم تکنیکها و ابزارهای خود را برای فرار از شناسایی و به خطر انداختن طیف گستردهای از اهداف اصلاح میکنند. استفاده از ایمپلنت سفتافزار Horse Shell نمونهای از نبوغ آنها در تغییر کاربری زیرساختهای موجود برای اهداف تهدیدآمیز است، و چالشهای پیش روی مدافعان را در شناسایی و کاهش این تهدیدات پیچیده تقویت میکند.