Rabattilbud med flere licenser
Trusseldatabase Malware SnakeDisk USB-orm

SnakeDisk USB-orm

Med Mezo i Malware, Orme
Oversæt til:

Den Kina-allierede trusselsaktør kendt som Mustang Panda har rullet nye værktøjer ud i sine cyberspionagekampagner. Forskere har for nylig dokumenteret brugen af en opgraderet TONESHELL-bagdør sammen med en tidligere ukendt USB-orm kaldet SnakeDisk. Begge tilføjelser styrker gruppens ry som en af de mest vedholdende statsstøttede modstandere.

Hvem står bag angrebene?

Cybersikkerhedseksperter overvåger denne aktivitet under klyngen Hive0154, et paraplynavn knyttet til Mustang Panda. Denne klynge er også kendt under flere aliaser, herunder BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus og Twill Typhoon.

Beviser tyder på, at Mustang Panda har været aktiv siden mindst 2012 og udført spionagefokuserede operationer på vegne af kinesiske statsinteresser.

SnakeDisk: En skjult USB-orm

SnakeDisk er en nyligt identificeret orm, der spreder sig via DLL-sideloading. Den tilhører TONESHELL-malwarefamilien og viser tydelige overlap med et andet USB-ormeframework, TONEDISK (også kendt som WispRider).

Dens vigtigste funktioner omfatter:

  • Overvågning af tilsluttede USB-enheder for spredningsmuligheder.
  • Flytter eksisterende USB-filer til en skjult undermappe og erstatter dem derefter med en ondsindet eksekverbar fil forklædt som enhedens volumennavn eller blot USB.exe.
  • Gendannelse af de originale filer, når malwaren er udløst på et nyt system, hvilket reducerer mistanke.

En slående funktion er dens geofencing: SnakeDisk kører kun på enheder med IP-adresser fra Thailand, hvilket indsnævrer dens målretningsområde.

Yokai: Bagdøren leveret af SnakeDisk

SnakeDisk fungerer som en leveringsmekanisme for Yokai, en bagdør, der opretter en reverse shell til at køre vilkårlige kommandoer. Yokai, der først blev rapporteret i december 2024, blev forbundet med kampagner mod thailandske embedsmænd.

Malwaren deler tekniske ligheder med andre bagdørsfamilier, der tilskrives Hive0154, herunder PUBLOAD/PUBSHELL og TONESHELL. Selvom disse familier er separate stammer, bruger de sammenlignelige strukturer og teknikker til at kommunikere med kommando- og kontrolservere (C2).

Strategisk fokus på Thailand

Målretningsreglerne indbygget i SnakeDisk og implementeringen af Yokai tyder stærkt på, at en Mustang Panda-undergruppe i høj grad koncentrerer sig om Thailand. Dette peger på en raffineret strategi og skræddersyede operationer i Sydøstasien.

Et stort og udviklende malware-økosystem

Hive0154 skiller sig ud ved sin evne til at vedligeholde et stort, sammenkoblet malware-økosystem. Dets operationer demonstrerer:

  • Hyppige overlapninger i ondsindet kode og angrebsteknikker.
  • Løbende eksperimenter med underklynger og specialiseret malware.
  • Et ensartet tempo i udviklingscyklusserne, der fremhæver tilpasningsevne.

Mustang Pandas udviklende arsenal understreger trusselsaktørens langsigtede engagement i at forbedre sine spionagekapaciteter og samtidig skærpe sit regionale fokus.

Trending

Mest sete

Indlæser...