דלת אחורית של TinyNote

קבוצת מדינת הלאום הסינית בשם Camaro Dragon שוב נקשרת ליצירת דלת אחורית חדשה שמתיישרת עם מטרותיה של איסוף מודיעין. הדלת האחורית הזו, הידועה בשם TinyNote, בנויה באמצעות שפת התכנות Go. בעוד ש-TinyNote לא תציג רמות מתקדמות של תחכום, היא מפצה על כך על ידי שימוש במגוון אסטרטגיות כדי להבטיח גישה מתמשכת למארחים שנפגעו.

TinyNote פועלת כמטען שלב ראשון, המתמקד בעיקר בביצוע ספירת מחשב בסיסית וביצוע פקודות באמצעות PowerShell או Goroutines. התוכנה הזדונית משתמשת במספר שיטות כדי לשמור על דריסת רגל במערכת שנפרצה. זה כולל ביצוע מספר משימות התמדה ושימוש בטכניקות שונות לתקשורת עם השרתים שלה.

נראה שהמטרה של דרקון הקמארו היא לשמור על נוכחות עמידה ומתמשכת בתוך המארח שנפגע, ולמקסם את יכולתו לאסוף מודיעין ולבצע פעולות זדוניות נוספות. ראוי לציין שפעילות קמארו דרקון חופפת לפעולות של שחקן איום שקהילת אבטחת הסייבר עוקב אחריו בתור מוסטנג פנדה. מאמינים שגם מוסטנג פנדה היא קבוצת פשעי סייבר מסין בחסות המדינה, עם סימנים המצביעים על כך שהיא חרוצה לפחות מאז 2012.

הדלת האחורית של TinyNote משמשת למיקוד שגרירויות ממשלתיות

ההפצה של TinyNote Backdoor כרוכה בשימוש בשמות קבצים הקשורים לענייני חוץ, כגון 'PDF_ Contacts List Of Invited Diplomatic Members'. מסע התקיפה מראה התמקדות מכוונת בהתמקדות בשגרירויות דרום מזרח ומזרח אסיה.

היבט משמעותי אחד של תוכנה זדונית ספציפית זו הוא היכולת שלה להתחמק מזיהוי על ידי Smadav, פתרון אנטי וירוס נפוץ באינדונזיה. יכולת זו מוכיחה את ההיערכות היסודית והידע הרב שיש לתוקפים לגבי סביבת קורבנותיהם והאזור בכללותו.

פריסת ה-TinyNote Backdoor מציגה את האופי הממוקד של הפעולות של Camaro Dragon ואת המחקר הנרחב שהם מבצעים לפני חדירת המערכות של הקורבנות המיועדים להם. על ידי שימוש בו-זמנית בדלת האחורית הזו לצד כלים אחרים בעלי רמות שונות של תחכום טכני, מפגינים שחקני האיום את מאמציהם הפעילים לגוון את ארסנל התקיפות שלהם.

פושעי סייבר ממשיכים להרחיב ולפתח את הטכניקות שלהם ומאיים על ארסנל

ממצאים אלה שופכים אור על הטקטיקות המתקדמות שמפעיל הדרקון קמארו, ומדגישים את הגישה האסטרטגית שלהם ומחויבותם להתאמת הטכניקות שלהם כדי למקסם את האפקטיביות ולהשיג את יעדיהם. פריסת ה-TinyNote Backdoor מדגישה את המיקוד של הקבוצה ביעדים ספציפיים ואת המאמצים המתמשכים שלה להישאר קדימה בנוף המתפתח של איומי סייבר.

Mustang Panda משך תשומת לב עם פיתוח של שתל קושחה מותאם אישית הידוע בשם Horse Shell. שתל זה מכוון במיוחד לנתבי TP-Link, והופך אותם לרשת רשת המאפשרת העברת פקודות בין שרתי Command-and-Control (C2) והתקנים נגועים.

בעיקרו של דבר, מטרת השתל הזה היא לטשטש פעילויות מזיקות על ידי שימוש בנתבים ביתיים שנפגעו כתשתית ביניים. על ידי כך, התוקפים יוצרים רשת המאפשרת לתקשורת עם מחשבים נגועים להיראות כאילו מקורה בצומת אחר, ומוסיפה שכבה נוספת של מורכבות לפעולות שלהם.

הממצאים האחרונים מדגישים לא רק את הקידום והתחכום של טקטיקות ההתחמקות של התוקפים, אלא גם את האופי המתפתח ללא הרף של אסטרטגיות ההכוונה שלהם. יתרה מזאת, התוקפים מפעילים מגוון רחב של כלים מותאמים אישית המותאמים לפריצת ההגנה של מטרות שונות, תוך שימת דגש על מחויבותם לשימוש בגישה מקיפה וסתגלנית.

התפתחויות אלו מציגות את המורכבות והיכולות ההולכות וגדלות של קבוצות פושעי סייבר כשהן משכללות ללא הרף את הטכניקות והכלים שלהן כדי להתחמק מגילוי ולסכן מגוון רחב של מטרות. השימוש בשתל הקושחה של Horse Shell מדגים את כושר ההמצאה שלהם בשימוש מחדש של תשתית קיימת למטרות מאיימות, ומגביר את האתגרים העומדים בפני המגינים באיתור והפחתת האיומים המתוחכמים הללו.