Camaro Dragon активно собирает разведданные с новым бэкдором TinyNote

Китайская хакерская группировка Camaro Dragon, также известная как Mustang Panda, была связана исследователями с новой вредоносной программой TinyNote, которая используется для сбора разведданных. Об этом сообщила компания по кибербезопасности Check Point .

По данным исследователям, TinyNote — это первичный вредоносный код, написанный на языке Go , который может выполнять базовые операции на заражённом компьютере и запускать команды через PowerShell или Goroutines .

Хотя вредонос не отличается высоким уровнем сложности, он обеспечивает несколько способов сохранить доступ к скомпрометированной системе, а также различные методы связи с серверами злоумышленников.

Camaro Dragon (Mustang Panda) ранее привлекала внимание весьма необычным способом скрытия своей деятельности. Хакеры использовали специальный прошивочный имплантат «Horse Shell», который превращал маршрутизаторы TP-Link в сеть для обмена командами с C2-серверами.

Таким образом злоумышленники маскировали свои действия, используя заражённые домашние роутеры в качестве промежуточной инфраструктуры, позволяющей общаться с инфицированными компьютерами через другой узел.

Результаты последних исследований демонстрируют эволюцию и рост сложности тактики уклонения и целеполагания атакующих, а также смесь индивидуальных инструментов, используемых для взлома защиты различных целей.

Бэкдор TinyNote распространяется под видом офисного документа и вероятно нацелен на посольства Юго-Восточной и Восточной Азии, так как имеет название «PDF_ Contacts List Of Invitated Deplomatic Members». Это первый известный вредонос группировки, написанный на Go.

Особенностью вредоносного кода является его способность обходить индонезийское антивирусное решение «Smadav», что свидетельствует о высоком уровне подготовки и глубоких знаниях о среде жертв.

«Бэкдор TinyNote подчёркивает целенаправленный подход Camaro Dragon и обширные исследования, которые они проводят перед проникновением в системы своих жертв», — заявили в Check Point.

«Одновременное использование этого вредоносного ПО вместе с другими различными инструментами говорит о том, что злоумышленники активно стремятся разнообразить свой арсенал атак», — заключили исследователи.