USB червей SnakeDisk
Свързаната с Китай хакерска група, известна като Mustang Panda, въведе нови инструменти в своите кибершпионски кампании. Изследователи наскоро документираха използването на подобрена задна вратичка TONESHELL, заедно с неизвестен досега USB червей, наречен SnakeDisk. И двете допълнения засилват репутацията на групата като един от най-упоритите противници, спонсорирани от държавата.
Съдържание
Кой стои зад атаките?
Експерти по киберсигурност наблюдават тази активност под името Hive0154, общо име, свързано с Mustang Panda. Този клъстер е известен и с няколко псевдонима, включително BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus и Twill Typhoon.
Доказателствата сочат, че Mustang Panda е активна поне от 2012 г., извършвайки шпионски операции в интерес на китайските държавни интереси.
SnakeDisk: Хитър USB червей
SnakeDisk е новоидентифициран червей, който се разпространява чрез странично зареждане на DLL файлове. Той принадлежи към семейството на зловредния софтуер TONESHELL и показва ясни припокривания с друга USB система за червеи, TONEDISK (известна още като WispRider).
Основните му възможности включват:
- Мониторинг на свързани USB устройства за възможности за разпространение.
- Преместване на съществуващи USB файлове в скрита поддиректория, след което замяната им със злонамерен изпълним файл, маскиран като името на тома на устройството или просто USB.exe.
- Възстановяване на оригиналните файлове след задействане на зловредния софтуер на нова система, намалявайки подозренията.
Забележителна характеристика е геозонирането: SnakeDisk работи само на устройства с IP адреси, базирани в Тайланд, което стеснява обхвата му на таргетиране.
Yokai: Задната вратичка, предоставена от SnakeDisk
SnakeDisk действа като механизъм за доставка за Yokai, задна вратичка, която създава обратна обвивка за изпълнение на произволни команди. За първи път съобщено през декември 2024 г., Yokai беше свързан с кампании срещу тайландски чиновници.
Зловредният софтуер споделя технически сходства с други семейства задни врати, приписвани на Hive0154, включително PUBLOAD/PUBSHELL и TONESHELL. Макар и отделни щамове, тези семейства използват сходни структури и техники за комуникация със сървъри за командване и контрол (C2).
Стратегически фокус върху Тайланд
Правилата за насочване, вградени в SnakeDisk, и разполагането на Yokai категорично показват, че подгрупа на Mustang Panda се концентрира силно върху Тайланд. Това сочи към усъвършенствана стратегия и специализирани операции в Югоизточна Азия.
Обширна и развиваща се екосистема от зловреден софтуер
Hive0154 се откроява със способността си да поддържа голяма, взаимосвързана екосистема от зловреден софтуер. Неговите операции демонстрират:
- Чести припокривания в злонамерен код и техники за атака.
- Текущи експерименти с подклъстери и специализиран зловреден софтуер.
- Постоянен темп на цикли на развитие, подчертаващ адаптивността.
Развиващият се арсенал на Mustang Panda подчертава дългосрочния ангажимент на злонамерената фигура да развива шпионските си възможности, като същевременно изостря регионалния си фокус.
