Camaro Dragon активно собирает разведданные с новым бэкдором TinyNote

[Artifact]

Новая волна хакерских атак нацелена на азиатские дипломатические посольства.
Китайская хакерская группировка Camaro Dragon, также известная как Mustang Panda, была связана исследователями с новой вредоносной программой TinyNote, которая используется для сбора разведданных. Об этом сообщила компания по кибербезопасности Check Point.
По данным исследователям, TinyNote — это первичный вредоносный код, написанный на языке Go, который может выполнять базовые операции на заражённом компьютере и запускать команды через PowerShell или Goroutines.
Хотя вредонос не отличается высоким уровнем сложности, он обеспечивает несколько способов сохранить доступ к скомпрометированной системе, а также различные методы связи с серверами злоумышленников.
Camaro Dragon (Mustang Panda) ранее привлекала внимание весьма необычным способом скрытия своей деятельности. Хакеры использовали специальный прошивочный имплантат «Horse Shell», который превращал маршрутизаторы TP-Link в сеть для обмена командами с C2-серверами.
Таким образом злоумышленники маскировали свои действия, используя заражённые домашние роутеры в качестве промежуточной инфраструктуры, позволяющей общаться с инфицированными компьютерами через другой узел.
Результаты последних исследований демонстрируют эволюцию и рост сложности тактики уклонения и целеполагания атакующих, а также смесь индивидуальных инструментов, используемых для взлома защиты различных целей.
Бэкдор TinyNote распространяется под видом офисного документа и вероятно нацелен на посольства Юго-Восточной и Восточной Азии, так как имеет название «PDF_ Contacts List Of Invitated Deplomatic Members». Это первый известный вредонос группировки, написанный на Go.
Особенностью вредоносного кода является его способность обходить индонезийское антивирусное решение «Smadav», что свидетельствует о высоком уровне подготовки и глубоких знаниях о среде жертв.
«Бэкдор TinyNote подчёркивает целенаправленный подход Camaro Dragon и обширные исследования, которые они проводят перед проникновением в системы своих жертв», — заявили в Check Point.
«Одновременное использование этого вредоносного ПО вместе с другими различными инструментами говорит о том, что злоумышленники активно стремятся разнообразить свой арсенал атак», — заключили исследователи.