Zardoor backdoor
A Cisco Talos egy új, lopakodó kémkedési kampányt fedezett fel, amely valószínűleg legalább 2021 márciusa óta tart. A megfigyelt tevékenység egy iszlám nonprofit szervezetet érint, amely hátsó ajtókat használ egy korábban nem bejelentett, Zardoor névre keresztelt rosszindulatú szoftvercsaládhoz. A Zardoor egyedi hátsó ajtó telepítése, a módosított fordított proxy eszközök használata és a többéves észlelés elkerülésének képessége alapjána Cisco Talos kutatói úgy vélik, hogy egy fejlett fenyegető szereplő hajtja végre ezt a támadást.
A kampány során az ellenfél a hátsó ajtók telepítésére, a vezérlési és irányítás (C2) létrehozására és a jelenlét fenntartására bináris programokat (LoLBins) használt.
Jelenleg csak egy veszélyeztetett célpontot azonosítottak a kutatók, azonban a fenyegető szereplő azon képessége, hogy hosszú távú hozzáférést tudott fenntartani az áldozat hálózatához anélkül, hogy felfedezték volna, azt sugallja, hogy lehetnek még mások is.
A Talos és harmadik felek kutatásai alapján a fordított proxyeszközök használata átfedésben van a Kínából származó számos fenyegető csoport által alkalmazott TTP-vel. Mégis, az új fenyegető szereplő és a meglévő csoportok közötti kapcsolatokat csak alacsony biztonsággal tudjuk megítélni, mivel a nyílt forráskódú eszközöket bármelyik fenyegető szereplő használhatja. A megtámadott célpont kiválasztása nem illeszkedik egyetlen ismert, Kínából származó fenyegető szereplő ismert célkitűzéseihez sem.