Бекдор TinyNote

Китайська національно-державна група під назвою Camaro Dragon знову була пов’язана зі створенням нового бекдору, який узгоджується з її цілями збору розвідданих. Цей бекдор, відомий як TinyNote, створений за допомогою мови програмування Go. Хоча TinyNote може не демонструвати високого рівня складності, він компенсує це, використовуючи низку стратегій для забезпечення постійного доступу до скомпрометованих хостів.

TinyNote працює як корисне навантаження першого етапу, головним чином зосереджене на проведенні базового машинного перерахування та виконанні команд за допомогою PowerShell або Goroutines. Зловмисне програмне забезпечення використовує кілька методів, щоб утриматися на скомпрометованій системі. Це включає виконання кількох завдань збереження та використання різних методів для зв’язку з його серверами.

Мета Camaro Dragon полягає в тому, щоб підтримувати стійку та постійну присутність у скомпрометованому хості, максимізуючи його здатність збирати розвідувальну інформацію та потенційно виконувати подальші зловмисні дії. Варто зазначити, що діяльність Camaro Dragon збігається з діями загрозливого актора, якого спільнота кібербезпеки відстежує як Mustang Panda. Також вважається, що Mustang Panda є китайською кіберзлочинною групою, яка фінансується державою, і ознаки вказують на те, що вона була старанною принаймні з 2012 року.

Бекдор TinyNote використовується для націлювання на урядові посольства

Розповсюдження TinyNote Backdoor передбачає використання імен файлів, пов’язаних із закордонними справами, наприклад «PDF_ Список контактів запрошених дипломатичних членів». Кампанія нападів демонструє навмисне зосередження на посольствах Південно-Східної та Східної Азії.

Одним із важливих аспектів цього конкретного шкідливого програмного забезпечення є його здатність уникати виявлення Smadav, антивірусного рішення, яке зазвичай використовується в Індонезії. Ця здатність демонструє ретельну підготовку та широкі знання, якими володіють зловмисники щодо середовища їхніх жертв та регіону в цілому.

Розгортання TinyNote Backdoor демонструє цілеспрямований характер операцій Camaro Dragon і масштабні дослідження, які вони проводять перед проникненням у системи своїх жертв. Одночасно використовуючи цей бекдор разом з іншими інструментами з різним рівнем технічної складності, суб’єкти загрози демонструють свої активні зусилля щодо диверсифікації свого арсеналу атак.

Кіберзлочинці продовжують розширювати та розвивати свої методи та загрозливий арсенал

Ці висновки проливають світло на передову тактику, яку використовує Camaro Dragon, підкреслюючи їхній стратегічний підхід і прагнення адаптувати свої методи для досягнення максимальної ефективності та досягнення поставлених цілей. Розгортання TinyNote Backdoor підкреслює зосередженість групи на конкретних цілях і їхні постійні зусилля залишатися попереду в мінливому ландшафті кіберзагроз.

Mustang Panda привернув увагу розробкою спеціального імплантату прошивки, відомого як Horse Shell. Цей імплантат спеціально націлений на маршрутизатори TP-Link, перетворюючи їх на сітчасту мережу, яка забезпечує передачу команд між серверами Command-and-Control (C2) та зараженими пристроями.

По суті, мета цього імплантату полягає в тому, щоб приховати шкідливу діяльність шляхом використання скомпрометованих домашніх маршрутизаторів як проміжної інфраструктури. Таким чином зловмисники створюють мережу, яка дозволяє створювати враження, що зв’язок із зараженими комп’ютерами походить з іншого вузла, додаючи додатковий рівень складності їхнім операціям.

Нещодавні відкриття підкреслюють не лише вдосконалення та витонченість тактики ухилення зловмисників, але й постійно змінюваний характер їхніх стратегій націлювання. Крім того, зловмисники використовують різноманітний набір інструментів, призначених для зламу захисту різних цілей, підкреслюючи свою відданість застосуванню комплексного та адаптивного підходу.

Ці розробки демонструють зростаючу складність і можливості груп кіберзлочинців, оскільки вони постійно вдосконалюють свої методи та інструменти, щоб уникнути виявлення та скомпрометувати широкий спектр цілей. Використання імплантату мікропрограми Horse Shell є прикладом їх винахідливості у перепрофілюванні існуючої інфраструктури для загрозливих цілей, посилюючи проблеми, з якими стикаються захисники під час виявлення та пом’якшення цих складних загроз.