Бэкдор TinyNote

Китайская группа национального государства под названием Camaro Dragon снова была связана с созданием нового бэкдора, который соответствует ее целям сбора разведданных. Этот бэкдор, известный как TinyNote, создан с использованием языка программирования Go. Хотя TinyNote может не демонстрировать высокий уровень сложности, он компенсирует это, используя ряд стратегий для обеспечения постоянного доступа к скомпрометированным хостам.

TinyNote работает как полезная нагрузка первого этапа, в основном ориентированная на выполнение базового перечисления компьютеров и выполнение команд с использованием PowerShell или Goroutines. Вредоносная программа использует несколько методов, чтобы закрепиться на скомпрометированной системе. Это включает в себя выполнение нескольких задач сохранения и использование различных методов для связи со своими серверами.

Целью Camaro Dragon, по-видимому, является поддержание устойчивого и постоянного присутствия на скомпрометированном хосте, максимальное увеличение его способности собирать разведданные и потенциально выполнять дальнейшие вредоносные действия. Стоит отметить, что деятельность Camaro Dragon пересекается с действиями злоумышленника, отслеживаемого сообществом кибербезопасности как Mustang Panda. Mustang Panda также считается спонсируемой государством киберпреступной группой из Китая, и признаки указывают на то, что она ведет себя усердно по крайней мере с 2012 года.

Бэкдор TinyNote используется для нападения на правительственные посольства

Распространение TinyNote Backdoor предполагает использование имен файлов, связанных с иностранными делами, таких как «PDF_ список контактов приглашенных дипломатических членов». Кампания атаки демонстрирует преднамеренное внимание к посольствам Юго-Восточной и Восточной Азии.

Одним из важных аспектов этого конкретного вредоносного ПО является его способность уклоняться от обнаружения Smadav, антивирусным решением, обычно используемым в Индонезии. Эта способность демонстрирует тщательную подготовку и обширные знания, которыми обладают злоумышленники в отношении окружения своих жертв и региона в целом.

Развертывание бэкдора TinyNote демонстрирует целенаправленный характер операций Camaro Dragon и обширные исследования, которые они проводят перед проникновением в системы предполагаемых жертв. Одновременно используя этот бэкдор вместе с другими инструментами разного уровня технической сложности, злоумышленники демонстрируют свои активные усилия по диверсификации своего арсенала атак.

Киберпреступники продолжают расширять и совершенствовать свои методы и угрожать арсеналу

Эти результаты проливают свет на передовую тактику, используемую Camaro Dragon, подчеркивая их стратегический подход и стремление адаптировать свои методы для максимальной эффективности и достижения своих целей. Развертывание бэкдора TinyNote подчеркивает внимание группы к конкретным целям и их непрерывные усилия, направленные на то, чтобы оставаться впереди в меняющемся ландшафте киберугроз.

Mustang Panda привлек внимание разработкой специальной прошивки, известной как Horse Shell. Этот имплантат специально нацелен на маршрутизаторы TP-Link, превращая их в ячеистую сеть, которая позволяет передавать команды между серверами управления и контроля (C2) и зараженными устройствами.

По сути, целью этого импланта является сокрытие вредоносных действий за счет использования скомпрометированных домашних маршрутизаторов в качестве промежуточной инфраструктуры. Поступая таким образом, злоумышленники создают сеть, в которой связь с зараженными компьютерами выглядит так, будто она исходит из другого узла, что добавляет дополнительный уровень сложности их операциям.

Недавние результаты подчеркивают не только прогресс и изощренность тактики уклонения злоумышленников, но и постоянно развивающийся характер их стратегий нацеливания. Кроме того, злоумышленники используют широкий спектр настраиваемых инструментов, предназначенных для взлома защиты различных целей, подчеркивая свою приверженность использованию комплексного и адаптивного подхода.

Эти разработки демонстрируют растущую сложность и возможности киберпреступных групп, поскольку они постоянно совершенствуют свои методы и инструменты, чтобы избежать обнаружения и компрометировать широкий спектр целей. Использование микропрограммы Horse Shell демонстрирует их изобретательность в перепрофилировании существующей инфраструктуры для угрожающих целей, усугубляя проблемы, с которыми сталкиваются защитники при обнаружении и устранении этих сложных угроз.