O grupo chinês de espionagem conhecido como Camaro Dragon foi relacionado a mais um backdoor projetado para atingir seus objetivos de coleta de informações.
A empresa de cibersegurança israelense Check Point, que chamou o malware baseado em Go de TinyNote, afirmou que ele funciona como um payload de primeiro estágio capaz de "enumeração básica de máquina e execução de comandos via PowerShell ou Goroutines".
O malware compensa sua falta de sofisticação quando se trata de estabelecer métodos redundantes para manter o acesso ao host comprometido por meio de várias tarefas de persistência e métodos variados para se comunicar com diferentes servidores.
O Camaro Dragon se sobrepõe a um ator de ameaça amplamente rastreado como Mustang Panda, um grupo patrocinado pelo estado da China que está ativo desde pelo menos 2012.
Os últimos achados demonstram a evolução e o crescimento na sofisticação das táticas de evasão e direcionamento dos atacantes, além da mistura de ferramentas personalizadas usadas para violar as defesas de diferentes alvos.
O backdoor TinyNote é distribuído usando nomes relacionados a assuntos estrangeiros (por exemplo, "Lista de contatos em PDF de membros diplomáticos convidados"), e provavelmente tem como alvo embaixadas do Sudeste e Leste Asiático.
É também o primeiro artefato conhecido do Mustang Panda escrito em Golang.
Um aspecto notável do malware é sua capacidade de contornar especificamente uma solução antivírus indonésia chamada Smadav, destacando seu alto nível de preparação e conhecimento profundo dos ambientes das vítimas.
"O backdoor TinyNote destaca a abordagem direcionada do Camaro Dragon e a extensa pesquisa que eles conduzem antes de infiltrar os sistemas de suas vítimas pretendidas", disse a Check Point.
"O uso simultâneo deste backdoor juntamente com outras ferramentas com diferentes níveis de avanço técnico implica que os atores de ameaça estão ativamente buscando diversificar seu arsenal de ataques."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...