Camaro Dragon Strikes avec la nouvelle porte dérobée TinyNote pour la collecte de renseignements

02 juin 2023Ravie LakshmananLogiciels malveillants / cybermenaces

Le groupe national chinois connu sous le nom de Dragon Camaro a été lié à une autre porte dérobée conçue pour atteindre ses objectifs de collecte de renseignements.

La société israélienne de cybersécurité Check Point, qui doublé TinyNote, un malware basé sur Go, a déclaré qu’il fonctionnait comme une charge utile de première étape capable « d’énumérer les machines de base et d’exécuter des commandes via PowerShell ou Goroutines ».

Ce qui manque au malware en termes de sophistication, il le compense lorsqu’il s’agit d’établir des méthodes redondantes pour conserver l’accès à l’hôte compromis au moyen de multiples tâches de persistance et de méthodes variées pour communiquer avec différents serveurs.

Camaro Dragon chevauche un acteur menaçant largement suivi sous le nom de Mustang Panda, un groupe parrainé par l’État chinois qui est connu pour être actif depuis au moins 2012.

L’acteur de la menace a récemment été à l’honneur pour un implant de micrologiciel sur mesure appelé Horse Shell qui coopte les routeurs TP-Link dans un réseau maillé capable de transmettre des commandes vers et depuis les serveurs de commande et de contrôle (C2).

En d’autres termes, l’objectif est de masquer l’activité malveillante en utilisant des routeurs domestiques compromis comme infrastructure intermédiaire permettant aux communications avec les ordinateurs infectés d’émaner d’un nœud différent.

Les dernières découvertes démontrent l’évolution et la croissance de la sophistication des tactiques d’évasion et du ciblage des attaquants, sans parler du mélange d’outils personnalisés utilisés pour percer les défenses de différentes cibles.

La porte dérobée TinyNote est distribuée en utilisant des noms liés aux affaires étrangères (par exemple, « PDF_Liste des contacts des membres déplomatiques invités »), et cible probablement les ambassades d’Asie du Sud-Est et de l’Est. C’est aussi le premier artefact connu de Mustang Panda écrit en Golang.

Un aspect remarquable du logiciel malveillant est sa capacité à contourner spécifiquement une solution antivirus indonésienne appelée Smadav, soulignant son haut niveau de préparation et sa connaissance approfondie de l’environnement des victimes.

« La porte dérobée TinyNote met en évidence l’approche ciblée de Camaro Dragon et les recherches approfondies qu’ils mènent avant d’infiltrer les systèmes de leurs victimes », a déclaré Check Point.

« L’utilisation simultanée de cette porte dérobée avec d’autres outils avec différents niveaux d’avancement technique implique que les acteurs de la menace cherchent activement à diversifier leur arsenal d’attaque. »

La divulgation vient comme ThreatMon découvert L’utilisation par APT41 (alias Wicked Panda) de la vie hors de la terre (LotL) techniques pour lancer une porte dérobée PowerShell en exploitant un exécutable Windows légitime appelé pourfichiers.

Ce n’est pas tout. Des responsables gouvernementaux de haut niveau des pays du G20 sont devenus la cible d’une nouvelle campagne de phishing orchestrée par un autre acteur menaçant chinois appelé Sharp Panda, par Cyble.

Les e-mails contiennent des versions piégées de prétendus documents officiels, qui utilisent la méthode d’injection de modèle à distance pour récupérer le téléchargeur de la prochaine étape à partir du serveur C2 à l’aide de l’arme Royal Road Rich Text Format (RTF).

Il convient de souligner que la chaîne d’infection susmentionnée est cohérente avec l’activité précédente de Sharp Panda, comme l’a récemment mis en évidence Check Point lors d’attaques visant des entités gouvernementales en Asie du Sud-Est.

De plus, l’Armée populaire de libération (PLA) de la Chine s’est avéré tirer parti d’informations open source disponibles sur Internet et d’autres sources à des fins de renseignement militaire pour obtenir un avantage stratégique sur l’Occident.

« L’utilisation par l’APL de OSINT lui fournit très probablement un avantage en matière de renseignement, car l’environnement d’information ouvert de l’Occident permet à l’APL de récolter facilement de grandes quantités de données open source, alors que les militaires occidentaux doivent faire face à l’environnement d’information fermé de la Chine », a déclaré Recorded Future indiqué.

L’analyse s’appuie sur une liste de 50 dossiers d’approvisionnement de l’APL et de l’industrie de la défense chinoise qui ont été publiés entre janvier 2019 et janvier 2023.

« Les fournisseurs de données commerciales doivent également être conscients que l’industrie militaire et de défense chinoise pourrait acheter leurs données à des fins de renseignement, et devraient envisager de faire preuve de diligence raisonnable lors de la vente de leurs données à des entités en Chine », a déclaré la société.