TinyNote Backdoor
Ķīnas nacionālo valstu grupa Camaro Dragon atkal ir saistīta ar jaunu aizmugures durvju izveidi, kas atbilst tās mērķiem vākt izlūkdatus. Šīs aizmugures durvis, kas pazīstamas kā TinyNote, ir veidotas, izmantojot Go programmēšanas valodu. Lai gan TinyNote var nebūt īpaši pilnveidots, tas to kompensē, izmantojot dažādas stratēģijas, lai nodrošinātu pastāvīgu piekļuvi apdraudētajiem saimniekdatoriem.
TinyNote darbojas kā pirmās pakāpes lietderīgā slodze, galvenokārt koncentrējoties uz pamata mašīnu uzskaitīšanu un komandu izpildi, izmantojot PowerShell vai Goroutines. Ļaunprātīgā programmatūra izmanto vairākas metodes, lai saglabātu stabilitāti apdraudētajā sistēmā. Tas ietver vairāku noturības uzdevumu veikšanu un dažādu paņēmienu izmantošanu saziņai ar saviem serveriem.
Šķiet, ka Camaro Dragon mērķis ir saglabāt noturīgu un pastāvīgu klātbūtni apdraudētajā saimniekdatorā, maksimāli palielinot tā spēju vākt izlūkdatus un, iespējams, veikt turpmākas ļaunprātīgas darbības. Ir vērts atzīmēt, ka Camaro Dragon darbība pārklājas ar apdraudējuma aktiera darbībām, ko kiberdrošības kopiena izseko kā Mustang Panda. Tiek uzskatīts, ka Mustang Panda ir arī valsts sponsorēta Ķīnas kibernoziegumu grupa, un pazīmes liecina, ka tā ir bijusi uzcītīga vismaz kopš 2012. gada.
TinyNote Backdoor tiek izmantots, lai mērķētu uz valdības vēstniecībām
TinyNote Backdoor izplatīšana ietver failu nosaukumu izmantošanu, kas ir saistīti ar ārlietām, piemēram, "PDF_ Kontaktu saraksts Uzaicināto diplomātisko dalībnieku". Uzbrukuma kampaņa liecina par apzinātu koncentrēšanos uz Dienvidaustrumu un Austrumāzijas vēstniecībām.
Viens nozīmīgs šīs ļaunprogrammatūras aspekts ir tās spēja izvairīties no Smadav, Indonēzijā plaši izmantotā pretvīrusu risinājuma, atklāšanas. Šīs spējas parāda uzbrucēju rūpīgo sagatavošanos un plašās zināšanas par viņu upuru vidi un reģionu kopumā.
TinyNote Backdoor izvietošana parāda Camaro Dragon operāciju mērķtiecību un plašo izpēti, ko viņi veic pirms iefiltrēšanās paredzēto upuru sistēmās. Vienlaicīgi izmantojot šīs aizmugures durvis kopā ar citiem rīkiem ar atšķirīgu tehniskās sarežģītības līmeni, apdraudējuma dalībnieki demonstrē savus aktīvos centienus dažādot savu uzbrukuma arsenālu.
Kibernoziedznieki turpina paplašināt un attīstīt savus paņēmienus un apdraud arsenālu
Šie atklājumi atklāj Camaro Dragon izmantoto progresīvo taktiku, uzsverot viņu stratēģisko pieeju un apņemšanos pielāgot metodes, lai palielinātu efektivitāti un sasniegtu mērķus. TinyNote Backdoor izvietošana uzsver grupas koncentrēšanos uz konkrētiem mērķiem un nepārtrauktus centienus noturēties uz priekšu mainīgajā kiberdraudu vidē.
Mustang Panda piesaistīja uzmanību, izstrādājot pielāgotu programmaparatūras implantu, kas pazīstams kā Horse Shell. Šis implants ir īpaši paredzēts TP-Link maršrutētājiem, pārveidojot tos tīkla tīklā, kas nodrošina komandu pārsūtīšanu starp Command-and-Control (C2) serveriem un inficētām ierīcēm.
Būtībā šī implanta mērķis ir novērst kaitīgas darbības, izmantojot apdraudētus mājas maršrutētājus kā starpposma infrastruktūru. Šādi rīkojoties, uzbrucēji izveido tīklu, kas ļauj saziņai ar inficētajiem datoriem, šķiet, rodas no cita mezgla, pievienojot viņu darbībām papildu sarežģītību.
Jaunākie atklājumi izceļ ne tikai uzbrucēju izvairīšanās taktiku attīstību un sarežģītību, bet arī viņu mērķēšanas stratēģiju nepārtraukto attīstību. Turklāt uzbrucēji izmanto dažādus pielāgotus rīkus, kas pielāgoti dažādu mērķu aizsardzības pārkāpumiem, uzsverot viņu apņemšanos izmantot visaptverošu un adaptīvu pieeju.
Šie notikumi parāda kibernoziedznieku grupu pieaugošo sarežģītību un iespējas, jo tās nepārtraukti pilnveido savas metodes un rīkus, lai izvairītos no atklāšanas un apdraudētu plašu mērķu klāstu. Horse Shell programmaparatūras implanta izmantošana parāda viņu atjautību esošās infrastruktūras pārveidošanā apdraudošiem mērķiem, pastiprinot izaicinājumus, ar kuriem saskaras aizstāvji, atklājot un mazinot šos sarežģītos draudus.
