Ngày 02 tháng 6 năm 2023Ravie Lakshmanan Phần mềm độc hại / Mối đe dọa mạng
Nhóm sân khấu quốc gia Trung Quốc được gọi là Rồng Camaro đã được liên kết với một cửa hậu khác được thiết kế để đáp ứng các mục tiêu thu thập thông tin tình báo của nó.
Công ty an ninh mạng Check Point của Israel, công ty đặt tên cho phần mềm độc hại dựa trên Go là TinyNote, cho biết nó hoạt động như một tải trọng giai đoạn đầu có khả năng “liệt kê máy cơ bản và thực thi lệnh thông qua PowerShell hoặc Goroutines.”
Điều mà phần mềm độc hại thiếu về mặt tinh vi, nó bù đắp bằng việc thiết lập các phương pháp dư thừa để duy trì quyền truy cập vào máy chủ bị xâm nhập bằng nhiều tác vụ liên tục và các phương thức khác nhau để giao tiếp với các máy chủ khác nhau.
Camaro Dragon trùng lặp với một tác nhân đe dọa được theo dõi rộng rãi là Mustang Panda, một nhóm do nhà nước bảo trợ từ Trung Quốc được biết là đã hoạt động ít nhất là từ năm 2012.
Kẻ đe dọa gần đây đã trở thành tâm điểm chú ý cho một chương trình cấy ghép chương trình cơ sở tùy chỉnh có tên Horse Shell, kết hợp các bộ định tuyến TP-Link vào một mạng lưới có khả năng truyền lệnh đến và từ các máy chủ chỉ huy và kiểm soát (C2).
Nói cách khác, mục tiêu là che giấu hoạt động độc hại bằng cách sử dụng các bộ định tuyến gia đình bị xâm nhập làm cơ sở hạ tầng trung gian cho phép liên lạc với các máy tính bị nhiễm phát ra từ một nút khác.
Những phát hiện mới nhất chứng minh sự phát triển và tăng trưởng về mức độ tinh vi của cả chiến thuật trốn tránh và nhắm mục tiêu của kẻ tấn công, chưa kể đến hỗn hợp các công cụ tùy chỉnh được sử dụng để phá vỡ hệ thống phòng thủ của các mục tiêu khác nhau.
Cửa hậu TinyNote được phát tán bằng cách sử dụng các tên liên quan đến các vấn đề đối ngoại (ví dụ: “PDF_ Danh sách liên hệ của các thành viên ngoại giao được mời”) và có khả năng nhắm mục tiêu vào các đại sứ quán Đông Nam và Đông Á. Đây cũng là hiện vật Mustang Panda đầu tiên được biết đến được viết bằng tiếng Golang.
Một khía cạnh đáng chú ý của phần mềm độc hại này là khả năng vượt qua một cách cụ thể giải pháp chống vi-rút của Indonesia có tên là Smadav, cho thấy mức độ chuẩn bị cao và kiến thức sâu rộng về môi trường của nạn nhân.
Check Point cho biết: “Cửa hậu TinyNote nêu bật cách tiếp cận mục tiêu của Camaro Dragon và nghiên cứu sâu rộng mà họ tiến hành trước khi xâm nhập vào hệ thống của các nạn nhân dự định của họ”.
“Việc sử dụng đồng thời cửa hậu này cùng với các công cụ khác với mức độ tiến bộ kỹ thuật khác nhau ngụ ý rằng các tác nhân đe dọa đang tích cực tìm cách đa dạng hóa kho vũ khí tấn công của chúng.”
Tiết lộ được đưa ra khi ThreatMon phát hiện ra việc APT41 (hay còn gọi là Wicked Panda) sử dụng các kỹ thuật sinh sống ngoài đất liền (LotL) để khởi chạy một cửa hậu PowerShell bằng cách tận dụng một tệp thực thi hợp pháp của Windows có tên là forfiles.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Đó chưa phải là tất cả. Các quan chức chính phủ cấp cao từ các quốc gia G20 đã trở thành mục tiêu của một chiến dịch lừa đảo mới được dàn dựng bởi một tác nhân đe dọa Trung Quốc khác có tên là Sharp Panda, theo Cyble.
Các email này chứa các phiên bản bẫy booby của các tài liệu chính thức có chủ đích, sử dụng phương pháp chèn mẫu từ xa để truy xuất trình tải xuống giai đoạn tiếp theo từ máy chủ C2 bằng cách sử dụng vũ khí hóa Định dạng văn bản có định dạng (RTF) của Royal Road.
Cần chỉ ra rằng chuỗi lây nhiễm nói trên phù hợp với hoạt động của Sharp Panda trước đây, như bằng chứng gần đây là Check Point trong các cuộc tấn công nhằm vào các tổ chức chính phủ ở Đông Nam Á.
Hơn nữa, Quân đội Giải phóng Nhân dân (PLA) của Trung Quốc đã tận dụng thông tin nguồn mở có sẵn từ internet và các nguồn khác cho mục đích tình báo quân sự để đạt được lợi thế chiến lược trước phương Tây.
“Việc PLA sử dụng OSINT rất có thể mang lại lợi thế về tình báo, vì môi trường thông tin mở của phương Tây cho phép PLA dễ dàng thu thập số lượng lớn dữ liệu nguồn mở, trong khi quân đội phương Tây phải đấu tranh với môi trường thông tin đóng của Trung Quốc,” Recorded Future lưu ý.
Phân tích rút ra từ danh sách 50 hồ sơ mua sắm công nghiệp quốc phòng của PLA và Trung Quốc được công bố từ tháng 1 năm 2019 đến tháng 1 năm 2023.
Công ty cho biết: “Các nhà cung cấp dữ liệu thương mại cũng nên biết rằng ngành công nghiệp quốc phòng và quân sự của Trung Quốc có thể mua dữ liệu của họ cho mục đích tình báo và nên xem xét thực hiện thẩm định khi bán dữ liệu của họ cho các thực thể ở Trung Quốc”.
