Siber Suçlar , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
TinyNote, ‘Göremezsiniz Ama Oradadır’ Açık Penceresi Oluşturur
Jayant Chakraborty (@JayJay_Tech) •
2 Haziran 2023
Çinli bir casusluk tehdit grubu, popüler bir Endonezya antivirüsünü atlatmak için yeni bir arka kapı kullanıyor. Güvenlik araştırmacıları, hedeflerin Güneydoğu ve Doğu Asya’da bulunan Avrupa büyükelçiliklerini içerdiğini söylüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Bir tehdit aktörü siber güvenlik firması Check Point, Camaro Dragon’un Mustang Panda olarak izlediği CrowdStrike grubu gibi bilinen diğer devlet destekli faaliyetlerle örtüştüğünü izliyor.
Check Point, Perşembe günü yayınlanan araştırmasında, bilinen bir parolayla temel HTTP Yetkilendirmesi tarafından korunan tehdit aktörü tarafından kullanılan bir dağıtım sunucusu bulduğunu söyledi. Sunucudaki araçlar arasında – Pekin merkezli Huorong Network Technology tarafından yapılan HRSWord da dahil olmak üzere çoğu zaten biliniyor – araştırmacılar TinyNote adını verdikleri bir arka kapı buldular.
TinyNote, “yetenekleri sınırlı, temel bir uzak kabuktur.” Saldırganların kalıcılık oluşturmasına ve bir komut ve kontrol sunucusundan komut yürütmesine olanak tanır. Check Point araştırmacıları, bununla ilgili ilginç olan şeyin, anavatanı ve Malezya da dahil olmak üzere Güneydoğu Asya ülkelerinde popüler olan bir Endonezya antivirüs aracı olan Smadav tarafından yapılan bir güvenlik kontrolünü nasıl atlattığını söyledi.
Baypas, “Camaro Dragon kampanyalarının odaklanmış hedeflemesinin ve kurbanlarının ortamları ve çözümleri hakkındaki bilgilerinin” bir göstergesidir.
Check Point araştırmacılarının açıkladığı gibi, her yeni işlem başladığında Smadav, işlemin masaüstünde görünür bir pencere açıp açmadığını kontrol eder. Penceresiz işlemleri şüpheli olarak ele alır ve kullanıcıların bunları engellemek isteyebileceğini önerir. TinyNote, kullanıcılar tarafından görülemeyen bir pencere açarak bunun üstesinden gelir. Arka kapı, bir kullanıcı bastığında Microsoft Windows’un görev çubuğunda veya pencere kümesinde görüntülemediği bir araç penceresini açar. Alternatif + Sekme. TinyNote ayrıca pencere genişliğini ve yüksekliğini sıfıra ayarlar ve Windows sınıf işlevine yapılan bir çağrıyı atlar. RegisterClass varsayılan bir sınıf adı kullanarak.
Araştırmacılar, “Nihayetinde, yeni oluşturulan pencere teknik olarak görünür olduğundan, tehdit aktörlerinin kontrolü atlamasına ve arka kapı yürütmeye kesintisiz devam etmesine izin veriyor.”
TinyNote, Smadav’ı amaçları için kullanan tehdit aktörünün ilk örneği değil. 2021’deki İsveç kâr amacı gütmeyen kuruluş Qurium, Mustang Panda’yı – ordu tarafından Parlamento’da sandalye alması engellenen Malezyalı milletvekillerine karşı – Smadav’ın Truva atı haline getirilmiş bir versiyonunu kullanan bir saldırıyla ilişkilendirdi.
TinyNote dosya adları Check Point zar zor korunan sunucuda bulundu ve “PDF_ Davet Edilen Deplomatik Üyelerin Kişi Listesi” gibi dış ilişkilerle bağlantılı vahşi kullanım terimlerinde bulundu. Adlandırma dönüşümü, Mustang Panda’nın Mart ayında Eset tarafından keşfedilen ve MQsTTang adlı başka bir arka kapı kötü amaçlı yazılımını adlandırmasına benziyor.