TinyNote后门

名为 Camaro Dragon 的中国民族国家组织再次与创建与其收集情报目标相一致的新后门有关。这个名为 TinyNote 的后门是使用 Go 编程语言构建的。虽然 TinyNote 可能不会表现出高级的复杂性，但它通过采用一系列策略来确保对受感染主机的持久访问来弥补这一点。

TinyNote 作为第一阶段的有效载荷运行，主要侧重于使用 PowerShell 或 Goroutines 进行基本的机器枚举和执行命令。该恶意软件采用多种方法在受感染的系统上保持立足点。这包括执行多项持久性任务并利用不同的技术与其服务器进行通信。

Camaro Dragon 的目标似乎是在受感染的主机中保持弹性和持久存在，最大限度地提高其收集情报和执行进一步恶意活动的能力。值得注意的是，Camaro Dragon 活动与网络安全社区追踪为 Mustang Panda 的威胁行为者的行为重叠。 Mustang Panda 也被认为是一个来自中国的国家支持的网络犯罪集团，有迹象表明它至少从 2012 年开始就一直很活跃。

TinyNote 后门用于攻击政府大使馆

TinyNote 后门的分布涉及使用与外交事务相关的文件名，例如“PDF_受邀外交成员的联系人列表”。攻击活动表明有意将重点放在针对东南亚和东亚大使馆。

这种特殊恶意软件的一个重要方面是它能够逃避 Smadav 的检测，Smadav 是印度尼西亚常用的一种防病毒解决方案。这种能力表明攻击者对受害者的环境和整个地区拥有充分的准备和广泛的知识。

TinyNote 后门的部署展示了 Camaro Dragon 操作的目标性质以及他们在渗透目标受害者系统之前进行的广泛研究。通过同时利用这个后门和其他技术复杂程度不同的工具，威胁行为者展示了他们为使攻击库多样化而做出的积极努力。

网络犯罪分子继续扩大和发展他们的技术和威胁武器库

这些发现揭示了 Camaro Dragon 采用的先进战术，突出了他们的战略方法和对调整技术以最大限度地提高效率和实现目标的承诺。 TinyNote 后门的部署凸显了该组织对特定目标的关注，以及他们为在不断变化的网络威胁领域保持领先地位而做出的不懈努力。

Mustang Panda 因开发称为 Horse Shell 的自定义固件植入程序而备受关注。该植入物专门针对 TP-Link 路由器，将它们转变为网状网络，从而能够在命令与控制 (C2) 服务器和受感染设备之间传输命令。

从本质上讲，这种植入的目的是通过将受感染的家庭路由器用作中间基础设施来混淆有害活动。通过这样做，攻击者创建了一个网络，允许与受感染计算机的通信似乎源自不同的节点，从而为其操作增加了额外的复杂性。

最近的调查结果不仅突出了攻击者规避策略的先进性和复杂性，而且突出了他们的目标策略不断演变的性质。此外，攻击者使用各种定制工具来破坏不同目标的防御，强调他们致力于采用全面和自适应的方法。

这些发展表明，随着网络犯罪集团不断完善其技术和工具以逃避检测并破坏范围广泛的目标，他们的复杂性和能力也在不断提高。 Horse Shell 固件植入程序的使用体现了他们在将现有基础设施重新用于威胁目的方面的独创性，放大了防御者在检测和缓解这些复杂威胁方面所面临的挑战。