ประตูหลัง TinyNote
กลุ่มรัฐชาติของจีนที่ชื่อว่า Camaro Dragon มีส่วนเกี่ยวข้องกับการสร้างประตูหลังใหม่ที่สอดคล้องกับวัตถุประสงค์ในการรวบรวมข้อมูล ประตูหลังนี้เรียกว่า TinyNote สร้างขึ้นโดยใช้ภาษาโปรแกรม Go แม้ว่า TinyNote อาจไม่แสดงระดับความซับซ้อนขั้นสูง แต่ก็ชดเชยสิ่งนี้ด้วยการใช้กลยุทธ์ที่หลากหลายเพื่อให้แน่ใจว่าสามารถเข้าถึงโฮสต์ที่ถูกบุกรุกได้อย่างต่อเนื่อง
TinyNote ทำงานเป็นเพย์โหลดขั้นแรก โดยมุ่งเน้นที่การแจงนับเครื่องพื้นฐานและดำเนินการคำสั่งโดยใช้ PowerShell หรือ Goroutines เป็นหลัก มัลแวร์ใช้หลายวิธีเพื่อรักษาฐานบนระบบที่ถูกบุกรุก ซึ่งรวมถึงการปฏิบัติงานต่อเนื่องหลายอย่างและใช้เทคนิคต่างๆ เพื่อสื่อสารกับเซิร์ฟเวอร์
วัตถุประสงค์ของ Camaro Dragon ดูเหมือนจะรักษาสภาพที่ยืดหยุ่นและต่อเนื่องภายในโฮสต์ที่ถูกบุกรุก เพิ่มความสามารถในการรวบรวมข้อมูลให้สูงสุดและอาจดำเนินกิจกรรมที่เป็นอันตรายต่อไป เป็นที่น่าสังเกตว่ากิจกรรม Camaro Dragon ทับซ้อนกับการกระทำของผู้คุกคามที่ถูกติดตามในชื่อ Mustang Panda โดยชุมชนความปลอดภัยทางไซเบอร์ นอกจากนี้ มัสแตงแพนด้ายังเชื่อว่าเป็นกลุ่มอาชญากรไซเบอร์ที่ได้รับการสนับสนุนจากรัฐจากจีน โดยมีสัญญาณบ่งชี้ว่าแพนด้าตัวนี้ขยันหมั่นเพียรมาตั้งแต่ปี 2555 เป็นอย่างน้อย
ประตูหลัง TinyNote ใช้เพื่อกำหนดเป้าหมายสถานทูตของรัฐบาล
การแจกจ่าย TinyNote Backdoor เกี่ยวข้องกับการใช้ชื่อไฟล์ที่เกี่ยวข้องกับกิจการต่างประเทศ เช่น 'PDF_รายชื่อผู้ติดต่อของสมาชิกทางการทูตที่ได้รับเชิญ' แคมเปญโจมตีนี้แสดงให้เห็นถึงการมุ่งเป้าไปที่สถานทูตในเอเชียตะวันออกเฉียงใต้และเอเชียตะวันออกอย่างจงใจ
ลักษณะสำคัญอย่างหนึ่งของมัลแวร์ชนิดนี้คือความสามารถในการหลบเลี่ยงการตรวจจับโดย Smadav ซึ่งเป็นโซลูชันป้องกันไวรัสที่ใช้กันทั่วไปในอินโดนีเซีย ความสามารถนี้แสดงให้เห็นถึงการเตรียมพร้อมอย่างถี่ถ้วนและความรู้ที่กว้างขวางของผู้โจมตีเกี่ยวกับสภาพแวดล้อมของเหยื่อและภูมิภาคโดยรวม
การใช้งาน TinyNote Backdoor แสดงให้เห็นถึงลักษณะเป้าหมายของปฏิบัติการของ Camaro Dragon และการวิจัยอย่างละเอียดที่พวกเขาดำเนินการก่อนที่จะแทรกซึมเข้าไปในระบบของเหยื่อที่พวกเขาตั้งใจไว้ ด้วยการใช้แบ็คดอร์นี้ควบคู่ไปกับเครื่องมืออื่นๆ ที่มีความซับซ้อนทางเทคนิคในระดับต่างๆ กัน ผู้คุกคามแสดงให้เห็นถึงความพยายามอย่างแข็งขันในการกระจายคลังแสงการโจมตีของพวกเขา
อาชญากรไซเบอร์ยังคงขยายและพัฒนาเทคนิคของตนอย่างต่อเนื่องและคุกคามอาร์เซนอล
การค้นพบนี้ชี้ให้เห็นถึงกลยุทธ์ขั้นสูงที่ Camaro Dragon ใช้ โดยเน้นแนวทางเชิงกลยุทธ์และความมุ่งมั่นในการปรับเทคนิคเพื่อเพิ่มประสิทธิผลสูงสุดและบรรลุวัตถุประสงค์ การใช้งาน TinyNote Backdoor เน้นย้ำถึงการมุ่งเน้นของกลุ่มไปที่เป้าหมายที่เฉพาะเจาะจงและความพยายามอย่างต่อเนื่องของพวกเขาที่จะก้าวนำหน้าในแนวการพัฒนาของภัยคุกคามทางไซเบอร์
Mustang Panda ได้รับความสนใจจากการพัฒนาเฟิร์มแวร์เทียมที่เรียกว่า Horse Shell การสอดใส่นี้มุ่งเป้าไปที่เราเตอร์ TP-Link โดยเฉพาะ โดยเปลี่ยนให้เป็นเครือข่ายตาข่ายที่ช่วยให้สามารถส่งคำสั่งระหว่างเซิร์ฟเวอร์ Command-and-Control (C2) และอุปกรณ์ที่ติดไวรัสได้
โดยพื้นฐานแล้ว จุดประสงค์ของการฝังนี้คือเพื่อทำให้กิจกรรมที่เป็นอันตรายสับสนโดยการใช้เราเตอร์ที่บ้านที่ถูกบุกรุกเป็นโครงสร้างพื้นฐานระดับกลาง เมื่อทำเช่นนั้น ผู้โจมตีจะสร้างเครือข่ายที่ช่วยให้การสื่อสารกับคอมพิวเตอร์ที่ติดไวรัสดูเหมือนว่ามาจากโหนดอื่น เพิ่มความซับซ้อนอีกชั้นหนึ่งให้กับการดำเนินงานของพวกเขา
การค้นพบล่าสุดไม่ได้เน้นเพียงความก้าวหน้าและความซับซ้อนของกลยุทธ์การหลบหลีกของผู้โจมตีเท่านั้น แต่ยังรวมถึงลักษณะที่พัฒนาอย่างต่อเนื่องของกลยุทธ์การกำหนดเป้าหมายของพวกเขาด้วย นอกจากนี้ ผู้โจมตียังใช้เครื่องมือปรับแต่งที่หลากหลายซึ่งปรับแต่งมาเพื่อเจาะระบบป้องกันของเป้าหมายต่างๆ โดยเน้นย้ำถึงความมุ่งมั่นที่จะใช้แนวทางที่ครอบคลุมและปรับเปลี่ยนได้
การพัฒนาเหล่านี้แสดงให้เห็นถึงความซับซ้อนและความสามารถที่เพิ่มขึ้นของกลุ่มอาชญากรไซเบอร์ เนื่องจากพวกเขาปรับปรุงเทคนิคและเครื่องมืออย่างต่อเนื่องเพื่อหลบเลี่ยงการตรวจจับและประนีประนอมเป้าหมายที่หลากหลาย การใช้เฟิร์มแวร์เทียม Horse Shell แสดงให้เห็นถึงความเฉลียวฉลาดในการปรับโครงสร้างพื้นฐานที่มีอยู่ใหม่เพื่อวัตถุประสงค์ในการคุกคาม ขยายความท้าทายที่ผู้ป้องกันเผชิญในการตรวจจับและบรรเทาภัยคุกคามที่ซับซ้อนเหล่านี้
