Kötü şöhretli bilgisayar korsanı grubu Camaro Dragon, son aylarda siber casusluk faaliyetlerini yoğunlaştırdı. Grup, özellikle Güneydoğu ve Doğu Asya ile bağlantılı Avrupa dışişleri kuruluşlarını hedef aldı.
Mustang Panda gibi Çin devlet destekli tehdit aktörleriyle şüpheli bağlantıları olan Camaro Dragon, yaygın bir casusluk operasyonları ağına dahil oldu.
Yakın tarihli bir raporda, ESET araştırmacıları Çin devlet destekli tehdit aktörlerinin iç işleyişini ortaya çıkardı. Bu bilgisayar korsanı gruplarının, Horse Shell olarak bilinen kötü amaçlı TP-Link yönlendirici ürün yazılımından yararlandıkları bildiriliyor.
Özellikle, bu tehdit aktörleri manzarasında, artık TinyNote adlı bir arka kapıya bağlı olan kötü şöhretli Camaro Dragon grubu ortaya çıktı. İşte tehdit aktörünün kampanyalarına ve operasyonlarında TinyNote kullanımına hızlı bir bakış.
Camaro Dragon ve TinyNote’un işlevleri ve hedefleri
Bir soruşturma sırasında, kötü şöhretli Camaro Dragon hacker topluluğuyla ilişkili bir dağıtım sunucusunda TinyNote adlı benzeri görülmemiş bir Go tabanlı arka kapı bulundu.
Şaşırtıcı bir şekilde, çeşitli kaynaklardan alınan kötü amaçlı yazılım örneklerinin müteakip analizi, bu sinsi kodun birden çok örneğini ortaya çıkardı ve bunların tümü, doğrudan Camaro Dragon grubuna bağlı komuta ve kontrol (C&C) sunucularıyla iletişim halindeydi.
Ayrıca TinyNote arka kapısı, faaliyetlerini özellikle Güneydoğu ve Doğu Asya bölgelerinde bulunan dış ilişkilere adanmış büyükelçilikler ve kurumlara yönlendirerek, gözünü yüksek değerli hedeflere odakladı.
TinyNote, PowerShell veya Goroutines kullanarak makine numaralandırma ve komut yürütme için temel yeteneklere sahip birinci aşama bir kötü amaçlı yazılım olarak hizmet etse de, birincil odak noktası güvenliği ihlal edilmiş sistemlerde yedeklilik oluşturmaktır.
Bu, çoklu kalıcılık görevlerinin ayarlanmasını, çeşitli C&C sunucularıyla iletişim kurulmasını ve C&C altyapısından alınan çeşitli komutların yürütülmesini içerir.
SmadAV antivirüsünden kaçınmak
TinyNote arka kapısının ilgi çekici bir yönü, Myanmar ve Endonezya gibi Güneydoğu Asya ülkelerinde yaygın olarak kullanılan bir antivirüs yazılımı olan SmadAV’ı atlayabilmesidir.
Kötü niyetli aktörler, smadAV’ın iç işleyişini analiz etti ve kontrollerini atlamanın bir yolunu buldu. Bunu, adsız, ancak varsayılan pencere sınıfı adlarından biri olan “EDIT” sınıf adıyla bir pencere oluşturarak başardılar.
Bu pencere belirli niteliklerle tasarlanmıştır: büyük bir X konumu, 0’a ayarlanmış genişlik ve yükseklik ve onu bir araç penceresi olarak kategorize eden WS_EX_TOOLWINDOW gibi bayraklar. Bu öznitelikler, pencere kullanıcıdan gizli kalmasına ve görev çubuğunda veya ALT+TAB kısayolunu kullanırken görünmemesine rağmen, IsWindowVisible işlevini pencereyi görünür olarak tanımlaması için kandırır.
Arka kapı yürütme akışı
TinyNote iki ana modda çalışır: kalıcılık, PowerShell arka kapısı, kurulum ve arka kapının kendisi. İlk modda, kötü amaçlı yazılım, çeşitli C&C sunucularından PowerShell komutlarını almak ve yürütmek için zamanlanmış görevler oluşturarak kalıcılık sağlar.
C&C sunucusu tarafından döndürülen yük, bir komut listesi yürüten, çıktıları birleştiren ve bunları bir POST isteği yoluyla geri gönderen hafif bir PowerShell arka kapısıdır.
Kalıcılık elde edildiğinde, kötü amaçlı yazılım ikinci moda girer ve bir “zip” yolundan çalışır. Sistem verilerini toplar, basit bir XOR algoritması kullanarak şifreler, Base64 ile kodlar ve mevcut rastgele C&C URL’lerinden birine iletir.
Camaro Dragon korsan grubu ile TinyNote arka kapısı arasındaki birkaç güçlü bağlantı, ilişkilerini sağlamlaştırıyor.
TinyNote arka kapısının bir sürümünü barındıran aynı C&C sunucusunun aynı dönemde MQsTTang arka kapısına da hizmet verdiği keşfedildi.
Tehdit aktörleri tarafından sürekli olarak kullanılan başka bir C&C sunucusu bu bağlantıyı daha da güçlendiriyor. Bilgisayar korsanları tarafından kullanılan mağduriyet, tuzaklar ve adlandırma kuralları, önceki Camaro Dragon kampanyalarıyla uyumludur.
TinyNote arka kapısının analizi, amaçlanan kurbanların sistemlerine sızmadan önce Camaro Dragon’un son derece hedefli yaklaşımı ve kapsamlı araştırması hakkında içgörü sağlar.
Arka kapı teknolojik olarak gelişmiş olmasa da, güvenliği ihlal edilmiş sistemlerde bir dayanak oluşturmak için Golang, hafif işlevsellik ve potansiyel hedeflerde yaygın olarak bulunan belirli antivirüs yazılımlarını atlamak gibi çeşitli taktikler kullanır.
TinyNote ve değişen teknik karmaşıklığa sahip diğer araçların kullanılması, tehdit aktörlerinin saldırı cephaneliklerini aktif olarak çeşitlendirdiğini gösteriyor.
Camaro Dragon’un faaliyetleri, siber casusluğun gelişen ve kalıcı doğasını hatırlatarak, bu tür karmaşık tehditlere karşı savunma yapmak için sağlam siber güvenlik önlemlerine ve proaktif tehdit istihbaratına yönelik kritik ihtiyacı vurgulamaktadır.