İstihbarat Toplama için Yeni TinyNote Arka Kapısı ile Camaro Dragon Saldırıyor


02 Haziran 2023Ravie LakshmananKötü Amaçlı Yazılım / Siber Tehdit

Camaro Ejderhası

Olarak bilinen Çin ulus-sahne grubu Camaro Ejderhası istihbarat toplama hedeflerine ulaşmak için tasarlanmış başka bir arka kapıyla bağlantılı.

Go tabanlı kötü amaçlı yazılım TinyNote olarak adlandırılan İsrailli siber güvenlik firması Check Point, bunun “PowerShell veya Goroutines aracılığıyla temel makine numaralandırma ve komut yürütme” yeteneğine sahip birinci aşama bir yük olarak işlev gördüğünü söyledi.

Kötü amaçlı yazılımın gelişmişlik açısından eksikliğini, birden fazla kalıcılık görevi ve farklı sunucularla iletişim kurmak için çeşitli yöntemler aracılığıyla güvenliği ihlal edilmiş ana bilgisayara erişimi korumak için gereksiz yöntemler oluşturmaya geldiğinde telafi eder.

Camaro Dragon, en az 2012’den beri aktif olduğu bilinen Çin’den devlet destekli bir grup olan Mustang Panda olarak geniş çapta izlenen bir tehdit aktörüyle örtüşüyor.

Tehdit aktörü yakın zamanda, TP-Link yönlendiricilerini komut ve kontrol (C2) sunucularına ve sunucularından komutları iletebilen bir ağ ağına dahil eden Horse Shell adlı özel bir ısmarlama ürün yazılımı implantı için ilgi odağı oldu.

Başka bir deyişle amaç, virüs bulaşmış bilgisayarlarla iletişimin farklı bir düğümden yayılmasına izin veren ara altyapı olarak güvenliği ihlal edilmiş ev yönlendiricilerini kullanarak kötü niyetli etkinliği gizlemektir.

En son bulgular, farklı hedeflerin savunmasını aşmak için kullanılan özel araçların karışımı bir yana, hem saldırganların kaçınma taktiklerinin hem de hedeflemenin karmaşıklığının geliştiğini ve arttığını gösteriyor.

TinyNote arka kapısı, dış ilişkilerle ilgili adlar kullanılarak dağıtılır (örneğin, “PDF_ Davet Edilen Deplomatik Üyelerin Kişi Listesi”) ve muhtemelen Güneydoğu ve Doğu Asya büyükelçiliklerini hedefler. Aynı zamanda Golang’da yazılmış bilinen ilk Mustang Panda eseridir.

Kötü amaçlı yazılımın kayda değer bir yönü, Smadav adlı bir Endonezya antivirüs çözümünü özel olarak atlayabilmesidir; bu da, yüksek hazırlık düzeyinin ve kurbanların ortamlarına ilişkin derin bilgisinin altını çizer.

Check Point, “TinyNote arka kapısı, Camaro Dragon’un hedeflenen yaklaşımını ve amaçlanan kurbanlarının sistemlerine sızmadan önce yürüttükleri kapsamlı araştırmayı vurguluyor” dedi.

“Bu arka kapının farklı teknik ilerleme seviyelerine sahip diğer araçlarla birlikte eşzamanlı kullanımı, tehdit aktörlerinin aktif olarak saldırı cephaneliklerini çeşitlendirmeye çalıştıkları anlamına geliyor.”

Açıklama, ThreatMon’un APT41’in (namı diğer Wicked Panda) forfiles adlı meşru bir Windows yürütülebilir dosyasından yararlanarak bir PowerShell arka kapısı başlatmak için arazide yaşama (LotL) tekniklerini kullandığını ortaya çıkarmasıyla geldi.

YAKLAŞAN WEBİNAR

🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak

API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!

Oturuma Katılın

Hepsi bu değil. Cyble’a göre G20 ülkelerinden üst düzey hükümet yetkilileri, Sharp Panda olarak adlandırılan başka bir Çinli tehdit aktörü tarafından düzenlenen yeni bir kimlik avı kampanyasının hedefi olarak ortaya çıktı.

E-postalar, Royal Road Rich Text Format (RTF) silah aracını kullanarak bir sonraki aşama indiriciyi C2 sunucusundan almak için uzak şablon enjeksiyon yöntemini kullanan sözde resmi belgelerin bubi tuzaklı sürümlerini içeriyor.

Check Point tarafından yakın zamanda Güneydoğu Asya’daki devlet kurumlarına yönelik saldırılarda kanıtlandığı gibi, yukarıda belirtilen enfeksiyon zincirinin önceki Sharp Panda etkinliğiyle tutarlı olduğunu belirtmekte fayda var.

Dahası, Çin Halk Kurtuluş Ordusu’nun (PLA), Batı’ya karşı stratejik bir avantaj elde etmek için askeri istihbarat amacıyla internetten ve diğer kaynaklardan edinilen açık kaynaklı bilgileri kullandığı tespit edildi.

Recorded Future, “Batı’nın açık bilgi ortamı PLA’nın büyük miktarlarda açık kaynaklı veriyi kolayca toplamasına izin verdiğinden, PLA’nın OSINT’i kullanması büyük olasılıkla ona bir istihbarat avantajı sağlıyor, oysa Batı orduları Çin’in kapalı bilgi ortamıyla mücadele etmek zorunda.”

Analiz, Ocak 2019 ile Ocak 2023 arasında yayınlanan 50 PLA ​​ve Çin savunma sanayi tedarik kaydı listesinden yararlanıyor.

Şirket, “Ticari veri sağlayıcıları, Çin’in askeri ve savunma endüstrisinin verilerini istihbarat amacıyla satın alabileceğinin farkında olmalı ve verilerini Çin’deki kuruluşlara satarken durum tespiti yapmayı düşünmelidir” dedi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link