SnakeDisk USB-mato
Kiinaa tukeva uhkatoimija Mustang Panda on ottanut käyttöön uusia työkaluja kybervakoilukampanjoissaan. Tutkijat ovat äskettäin dokumentoineet päivitetyn TONESHELL-takaoven käytön aiemmin tuntemattoman SnakeDisk-nimisen USB-madon rinnalla. Molemmat lisäykset vahvistavat ryhmän mainetta yhtenä sitkeimmistä valtion tukemista vastustajista.
Sisällysluettelo
Kuka on hyökkäysten takana?
Kyberturvallisuusasiantuntijat seuraavat tätä toimintaa Hive0154-klusterin alla, joka on Mustang Pandaan liittyvä sateenvarjonimi. Tämä klusteri tunnetaan myös useilla aliaksilla, kuten BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus ja Twill Typhoon.
Todisteet viittaavat siihen, että Mustang Panda on ollut aktiivinen ainakin vuodesta 2012 lähtien ja suorittanut vakoiluun keskittyviä operaatioita Kiinan valtion etujen puolesta.
SnakeDisk: salamyhkäinen USB-mato
SnakeDisk on äskettäin tunnistettu mato, joka leviää DLL-sivulatauksen kautta. Se kuuluu TONESHELL-haittaohjelmaperheeseen ja osoittaa selviä päällekkäisyyksiä toisen USB-mato-alustan, TONEDISKin (eli WispRider), kanssa.
Sen tärkeimpiin ominaisuuksiin kuuluvat:
- Liitettyjen USB-laitteiden valvonta leviämismahdollisuuksien varalta.
- Siirtämällä olemassa olevia USB-tiedostoja piilotettuun alihakemistoon ja korvaamalla ne sitten haitallisella suoritettavalla tiedostolla, joka on naamioitu laitteen taltion nimellä tai yksinkertaisesti USB.exe-tiedostolla.
- Alkuperäisten tiedostojen palauttaminen, kun haittaohjelma laukeaa uudessa järjestelmässä, vähentää epäilyksiä.
Silmiinpistävä ominaisuus on sen geoaitaus: SnakeDisk toimii vain laitteilla, joilla on Thaimaassa sijaitsevat IP-osoitteet, mikä kaventaa sen kohdistusaluetta.
Yokai: The Backdoor Delivered by SnakeDisk
SnakeDisk toimii Yokain, takaportin, toimitusmekanismina, joka perustaa käänteisen kuoren mielivaltaisten komentojen suorittamiseen. Ensimmäisen kerran joulukuussa 2024 raportoidusta Yokaista yhdistettiin kampanjoihin thaimaalaisia viranomaisia vastaan.
Haittaohjelmalla on teknisiä yhtäläisyyksiä muiden Hive0154:ään liittyvien takaporttiperheiden, kuten PUBLOAD/PUBSHELLin ja TONESHELLin, kanssa. Vaikka nämä perheet ovat erillisiä haavoittuvuuksia, ne käyttävät samankaltaisia rakenteita ja tekniikoita kommunikoidakseen komento- ja hallintapalvelimien (C2) kanssa.
Strateginen painopiste Thaimaassa
SnakeDiskin sisäänrakennetut kohdistussäännöt ja Yokain käyttöönotto viittaavat vahvasti siihen, että Mustang Panda -alaryhmä keskittyy voimakkaasti Thaimaahan. Tämä viittaa hienostuneeseen strategiaan ja räätälöityihin operaatioihin Kaakkois-Aasiassa.
Laaja ja kehittyvä haittaohjelmaekosysteemi
Hive0154 erottuu kyvyllään ylläpitää suurta, toisiinsa yhteydessä olevaa haittaohjelmaekosysteemiä. Sen toiminta osoittaa:
- Useita päällekkäisyyksiä haitallisessa koodissa ja hyökkäystekniikoissa.
- Jatkuva kokeilu aliklustereilla ja erikoistuneilla haittaohjelmilla.
- Tasainen kehityssyklien tahti, joka korostaa sopeutumiskykyä.
Mustang Pandan kehittyvä asearsenaali korostaa uhkatoimijan pitkäaikaista sitoutumista vakoilukykyjensä kehittämiseen ja samalla alueellisen keskittymisensä terävöittämiseen.
