TinyNote Backdoor
Kinijos nacionalinės valstybės grupė, pavadinta „Camaro Dragon“, vėl buvo siejama su naujų užpakalinių durų, atitinkančių jos tikslus rinkti žvalgybą, sukūrimu. Šios užpakalinės durys, žinomos kaip TinyNote, sukurtos naudojant Go programavimo kalbą. Nors „TinyNote“ gali nepasižymėti aukštesnio lygio sudėtingumu, ji tai kompensuoja naudodama įvairias strategijas, užtikrinančias nuolatinę prieigą prie pažeistų prieglobų.
„TinyNote“ veikia kaip pirmosios pakopos naudingoji apkrova, daugiausia orientuota į pagrindinio mašinų išvardijimą ir komandų vykdymą naudojant „PowerShell“ arba „Goroutines“. Kenkėjiška programinė įranga naudoja kelis metodus, kad išlaikytų įsitvirtinimą pažeistoje sistemoje. Tai apima kelių atkaklumo užduočių atlikimą ir skirtingų komunikacijos su serveriais technikų naudojimą.
Atrodo, kad „Camaro Dragon“ tikslas yra išlaikyti atsparų ir nuolatinį buvimą pažeistame pagrindiniame kompiuteryje, maksimaliai padidinant jo gebėjimą rinkti žvalgybos informaciją ir potencialiai vykdyti tolesnę kenkėjišką veiklą. Verta paminėti, kad Camaro Dragon veikla sutampa su grėsmių veikėjo, kurį kibernetinio saugumo bendruomenė seka kaip Mustang Panda, veiksmais. Manoma, kad „Mustang Panda“ taip pat yra valstybės remiama kibernetinių nusikaltimų grupė iš Kinijos, o ženklai rodo, kad ji buvo stropi mažiausiai nuo 2012 m.
„TinyNote Backdoor“ naudojama siekiant nukreipti į vyriausybės ambasadas
TinyNote Backdoor platinimas apima su užsienio reikalais susijusių failų pavadinimų naudojimą, pvz., „PDF_Kviestų diplomatinių narių kontaktų sąrašas“. Atakos kampanija rodo sąmoningą dėmesį nukreipimui į Pietryčių ir Rytų Azijos ambasadas.
Vienas reikšmingas šios kenkėjiškos programos aspektas yra jos gebėjimas išvengti Smadav, Indonezijoje dažniausiai naudojamo antivirusinio sprendimo, aptikimo. Šie gebėjimai rodo nuodugnų užpuolikų pasirengimą ir plačias žinias apie aukų aplinką ir visą regioną.
„TinyNote Backdoor“ diegimas parodo „Camaro Dragon“ operacijų kryptingumą ir išsamius tyrimus, kurių jie atlieka prieš įsiskverbdami į numatytų aukų sistemas. Vienu metu naudodami šias užpakalines duris kartu su kitomis įvairaus techninio sudėtingumo priemonėmis, grėsmės veikėjai demonstruoja savo aktyvias pastangas įvairinti savo atakų arsenalą.
Kibernetiniai nusikaltėliai toliau plečia ir tobulina savo metodus ir kelia grėsmę arsenalui
Šios išvados atskleidžia pažangias Camaro Dragon taikomas taktikas, pabrėžia jų strateginį požiūrį ir įsipareigojimą pritaikyti savo metodus, kad būtų padidintas efektyvumas ir pasiekti tikslai. „TinyNote Backdoor“ diegimas pabrėžia grupės dėmesį konkretiems tikslams ir nuolatines pastangas išlikti priekyje besikeičiančioje kibernetinių grėsmių aplinkoje.
„Mustang Panda“ sulaukė dėmesio sukūrusi pritaikytą programinės įrangos implantą, žinomą kaip „Horse Shell“. Šis implantas specialiai skirtas TP-Link maršrutizatoriams, paverčiant juos tinkliniu tinklu, kuris leidžia perduoti komandas tarp komandų ir valdymo (C2) serverių ir užkrėstų įrenginių.
Iš esmės šio implanto tikslas yra užtemdyti kenksmingą veiklą, naudojant pažeistus namų maršrutizatorius kaip tarpinę infrastruktūrą. Tai darydami užpuolikai sukuria tinklą, leidžiantį bendrauti su užkrėstais kompiuteriais iš kito mazgo, todėl jų operacijos tampa dar sudėtingesnės.
Naujausios išvados pabrėžia ne tik užpuolikų vengimo taktikos pažangą ir sudėtingumą, bet ir nuolat kintančias jų nukreipimo strategijas. Be to, užpuolikai naudoja įvairius pasirinktinius įrankius, pritaikytus įvairių taikinių gynybai pažeisti, pabrėždami savo įsipareigojimą taikyti visapusišką ir prisitaikantį požiūrį.
Šie pokyčiai parodo didėjantį kibernetinių nusikaltėlių grupių sudėtingumą ir galimybes, nes jos nuolat tobulina savo metodus ir įrankius, kad išvengtų aptikimo ir pakenktų įvairiems taikiniams. Horse Shell programinės aparatinės įrangos implanto naudojimas parodo jų išradingumą pertvarkant esamą infrastruktūrą grėsmingiems tikslams, padidinant iššūkius, su kuriais susiduria gynėjai aptikdami ir sušvelnindami šias sudėtingas grėsmes.
