Giảm giá nhiều giấy phép
Threat Database Malware Cửa hậu TinyNote

Cửa hậu TinyNote

Đến năm Mezo năm Malware, Advanced Persistent Threat (APT), Backdoors
Dịch sang:
Tiếng Việt Nam

Nhóm nhà nước quốc gia Trung Quốc có tên Camaro Dragon một lần nữa được liên kết với việc tạo ra một cửa hậu mới phù hợp với mục tiêu thu thập thông tin tình báo. Cửa hậu này, được gọi là TinyNote, được xây dựng bằng ngôn ngữ lập trình Go. Mặc dù TinyNote có thể không thể hiện mức độ phức tạp nâng cao, nhưng nó bù đắp cho điều này bằng cách sử dụng một loạt các chiến lược để đảm bảo quyền truy cập liên tục vào các máy chủ bị xâm phạm.

TinyNote hoạt động như một tải trọng giai đoạn đầu tiên, chủ yếu tập trung vào việc tiến hành liệt kê máy cơ bản và thực thi các lệnh bằng cách sử dụng PowerShell hoặc Goroutines. Phần mềm độc hại sử dụng nhiều phương pháp để duy trì chỗ đứng trên hệ thống bị xâm nhập. Điều này bao gồm thực hiện một số tác vụ liên tục và sử dụng các kỹ thuật khác nhau để giao tiếp với các máy chủ của nó.

Mục tiêu của Camaro Dragon dường như là duy trì sự hiện diện kiên cường và bền bỉ trong máy chủ bị xâm nhập, tối đa hóa khả năng thu thập thông tin tình báo và có khả năng thực hiện các hoạt động độc hại hơn nữa. Điều đáng chú ý là hoạt động của Camaro Dragon trùng lặp với hành động của một kẻ đe dọa được cộng đồng an ninh mạng theo dõi là Mustang Panda. Mustang Panda cũng được cho là một nhóm tội phạm mạng do nhà nước bảo trợ từ Chine, với các dấu hiệu cho thấy nhóm này đã hoạt động tích cực ít nhất là từ năm 2012.

TinyNote Backdoor được sử dụng để nhắm mục tiêu vào các Đại sứ quán Chính phủ

Việc phân phối TinyNote Backdoor liên quan đến việc sử dụng tên tệp có liên quan đến các vấn đề đối ngoại, chẳng hạn như 'PDF_ Danh sách Liên hệ của các Thành viên Ngoại giao được mời.' Chiến dịch tấn công cho thấy sự tập trung có chủ ý nhằm vào các đại sứ quán Đông Nam và Đông Á.

Một khía cạnh quan trọng của phần mềm độc hại cụ thể này là khả năng trốn tránh sự phát hiện của Smadav, một giải pháp chống vi-rút thường được sử dụng ở Indonesia. Khả năng này thể hiện sự chuẩn bị kỹ lưỡng và kiến thức sâu rộng của những kẻ tấn công về môi trường của nạn nhân và toàn bộ khu vực.

Việc triển khai TinyNote Backdoor thể hiện bản chất nhắm mục tiêu của các hoạt động của Camaro Dragon và nghiên cứu sâu rộng mà họ thực hiện trước khi xâm nhập vào hệ thống của các nạn nhân dự định của họ. Bằng cách sử dụng đồng thời cửa hậu này cùng với các công cụ khác với mức độ tinh vi kỹ thuật khác nhau, những kẻ đe dọa thể hiện nỗ lực tích cực của chúng nhằm đa dạng hóa kho vũ khí tấn công của chúng.

Tội phạm mạng tiếp tục mở rộng và phát triển các kỹ thuật của chúng và đe dọa Kho vũ khí

Những phát hiện này làm sáng tỏ các chiến thuật tiên tiến mà Camaro Dragon sử dụng, làm nổi bật cách tiếp cận chiến lược và cam kết điều chỉnh các kỹ thuật của họ để tối đa hóa hiệu quả và đạt được mục tiêu của họ. Việc triển khai TinyNote Backdoor nhấn mạnh sự tập trung của nhóm vào các mục tiêu cụ thể và những nỗ lực không ngừng của họ để luôn dẫn đầu trong bối cảnh các mối đe dọa mạng ngày càng phát triển.

Mustang Panda đã thu hút được sự chú ý với việc phát triển một phần mềm cấy ghép tùy chỉnh được gọi là Horse Shell. Bộ cấy này nhắm mục tiêu cụ thể vào các bộ định tuyến TP-Link, biến chúng thành một mạng lưới cho phép truyền lệnh giữa các máy chủ Command-and-Control (C2) và các thiết bị bị nhiễm.

Về cơ bản, mục đích của bộ cấy ghép này là che giấu các hoạt động có hại bằng cách sử dụng các bộ định tuyến gia đình bị xâm nhập làm cơ sở hạ tầng trung gian. Bằng cách đó, những kẻ tấn công tạo ra một mạng cho phép giao tiếp với các máy tính bị nhiễm dường như bắt nguồn từ một nút khác, làm tăng thêm một lớp phức tạp cho hoạt động của chúng.

Những phát hiện gần đây không chỉ làm nổi bật sự tiến bộ và tinh vi của các chiến thuật trốn tránh của những kẻ tấn công mà còn là bản chất không ngừng phát triển của các chiến lược nhắm mục tiêu của chúng. Hơn nữa, những kẻ tấn công sử dụng một loạt các công cụ tùy chỉnh được thiết kế để phá vỡ hệ thống phòng thủ của các mục tiêu khác nhau, nhấn mạnh cam kết của chúng trong việc sử dụng một cách tiếp cận toàn diện và thích ứng.

Những bước phát triển này cho thấy mức độ phức tạp và khả năng ngày càng tăng của các nhóm tội phạm mạng khi chúng liên tục tinh chỉnh các kỹ thuật và công cụ của mình để tránh bị phát hiện và xâm phạm nhiều mục tiêu. Việc sử dụng bộ cấy chương trình cơ sở Horse Shell thể hiện sự khéo léo của họ trong việc tái sử dụng cơ sở hạ tầng hiện có cho các mục đích đe dọa, làm tăng thêm những thách thức mà những người bảo vệ phải đối mặt trong việc phát hiện và giảm thiểu các mối đe dọa tinh vi này.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...