SnakeDisk USB Worm
Ο κινέζικος απειλητικός παράγοντας, γνωστός ως Mustang Panda, έχει λανσάρει νέα εργαλεία στις εκστρατείες κυβερνοκατασκοπείας του. Ερευνητές πρόσφατα κατέγραψαν τη χρήση ενός αναβαθμισμένου backdoor TONESHELL παράλληλα με ένα προηγουμένως άγνωστο worm USB με την ονομασία SnakeDisk. Και οι δύο προσθήκες ενισχύουν τη φήμη της ομάδας ως ενός από τους πιο επίμονους κρατικά χρηματοδοτούμενους αντιπάλους.
Πίνακας περιεχομένων
Ποιος βρίσκεται πίσω από τις επιθέσεις;
Οι ειδικοί στον κυβερνοχώρο παρακολουθούν αυτήν τη δραστηριότητα στο πλαίσιο του συμπλέγματος Hive0154, ενός ομπρέλας που συνδέεται με το Mustang Panda. Αυτό το σύμπλεγμα είναι επίσης γνωστό με διάφορα ψευδώνυμα, όπως BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus και Twill Typhoon.
Τα στοιχεία δείχνουν ότι η Mustang Panda δραστηριοποιείται τουλάχιστον από το 2012, πραγματοποιώντας επιχειρήσεις κατασκοπείας για λογαριασμό κινεζικών κρατικών συμφερόντων.
SnakeDisk: Ένα κρυφό σκουλήκι USB
Το SnakeDisk είναι ένα πρόσφατα αναγνωρισμένο worm που εξαπλώνεται μέσω πλευρικής φόρτωσης DLL. Ανήκει στην οικογένεια κακόβουλου λογισμικού TONESHELL και παρουσιάζει σαφείς επικαλύψεις με ένα άλλο πλαίσιο worm USB, το TONEDISK (γνωστό και ως WispRider).
Οι κύριες δυνατότητές του περιλαμβάνουν:
- Παρακολούθηση συνδεδεμένων συσκευών USB για ευκαιρίες διάδοσης.
- Μετακίνηση υπαρχόντων αρχείων USB σε έναν κρυφό υποκατάλογο και, στη συνέχεια, αντικατάστασή τους με ένα κακόβουλο εκτελέσιμο αρχείο που μεταμφιέζεται ως το όνομα του τόμου της συσκευής ή απλώς ως USB.exe.
- Επαναφορά των αρχικών αρχείων μόλις ενεργοποιηθεί το κακόβουλο λογισμικό σε ένα νέο σύστημα, μειώνοντας τις υποψίες.
Ένα εντυπωσιακό χαρακτηριστικό του είναι το geofencing: Το SnakeDisk εκτελείται μόνο σε συσκευές με διευθύνσεις IP που βασίζονται στην Ταϊλάνδη, περιορίζοντας το εύρος στόχευσης.
Yokai: Η Κερκόπορτα που Παράδοση από το SnakeDisk
Το SnakeDisk λειτουργεί ως μηχανισμός παράδοσης για το Yokai, ένα backdoor που ρυθμίζει ένα reverse shell για την εκτέλεση αυθαίρετων εντολών. Αναφέρθηκε για πρώτη φορά τον Δεκέμβριο του 2024, ότι το Yokai συνδέθηκε με εκστρατείες κατά Ταϊλανδών αξιωματούχων.
Το κακόβουλο λογισμικό μοιράζεται τεχνικές ομοιότητες με άλλες οικογένειες backdoor που αποδίδονται στο Hive0154, συμπεριλαμβανομένων των PUBLOAD/PUBSHELL και TONESHELL. Ενώ είναι ξεχωριστά στελέχη, αυτές οι οικογένειες χρησιμοποιούν συγκρίσιμες δομές και τεχνικές για την επικοινωνία με διακομιστές εντολών και ελέγχου (C2).
Στρατηγική εστίαση στην Ταϊλάνδη
Οι κανόνες στόχευσης που είναι ενσωματωμένοι στο SnakeDisk και η ανάπτυξη του Yokai υποδηλώνουν έντονα ότι μια υποομάδα Mustang Panda επικεντρώνεται σε μεγάλο βαθμό στην Ταϊλάνδη. Αυτό υποδηλώνει μια βελτιωμένη στρατηγική και προσαρμοσμένες επιχειρήσεις στη Νοτιοανατολική Ασία.
Ένα τεράστιο και εξελισσόμενο οικοσύστημα κακόβουλου λογισμικού
Το Hive0154 ξεχωρίζει για την ικανότητά του να διατηρεί ένα μεγάλο, διασυνδεδεμένο οικοσύστημα κακόβουλου λογισμικού. Οι λειτουργίες του καταδεικνύουν:
- Συχνές επικαλύψεις σε κακόβουλο κώδικα και τεχνικές επίθεσης.
- Συνεχής πειραματισμός με υποσυστήματα και εξειδικευμένο κακόβουλο λογισμικό.
- Ένας συνεπής ρυθμός κύκλων ανάπτυξης, που τονίζει την προσαρμοστικότητα.
Το εξελισσόμενο οπλοστάσιο του Mustang Panda υπογραμμίζει τη μακροπρόθεσμη δέσμευση του παράγοντα απειλής να προωθήσει τις δυνατότητες κατασκοπείας του, εντείνοντας παράλληλα την περιφερειακή του εστίαση.
