SnakeDisk USB crv
Kineski akter prijetnji poznat kao Mustang Panda uveo je nove alate u svoje kampanje kibernetičke špijunaže. Istraživači su nedavno dokumentirali korištenje nadograđenog TONESHELL backdoora uz prethodno nepoznatog USB crva nazvanog SnakeDisk. Oba dodatka jačaju reputaciju skupine kao jednog od najupornijih protivnika koje sponzorira država.
Sadržaj
Tko stoji iza napada?
Stručnjaci za kibernetičku sigurnost prate ovu aktivnost pod klasterom Hive0154, krovnim nazivom povezanim s Mustang Pandom. Ovaj klaster je također poznat pod nekoliko pseudonima, uključujući BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus i Twill Typhoon.
Dokazi ukazuju na to da je Mustang Panda aktivan najmanje od 2012. godine, provodeći špijunske operacije u ime kineskih državnih interesa.
SnakeDisk: Prikriveni USB crv
SnakeDisk je novootkriveni crv koji se širi bočnim učitavanjem DLL datoteka. Pripada obitelji zlonamjernog softvera TONESHELL i pokazuje jasna preklapanja s drugim USB crvskim sustavom, TONEDISK-om (poznatijim i kao WispRider).
Njegove glavne mogućnosti uključuju:
- Praćenje spojenih USB uređaja radi mogućnosti širenja.
- Premještanje postojećih USB datoteka u skriveni poddirektorij, a zatim njihova zamjena zlonamjernom izvršnom datotekom prikrivenom kao naziv diska uređaja ili jednostavno USB.exe.
- Vraćanje izvornih datoteka nakon što se zlonamjerni softver aktivira na novom sustavu, smanjujući sumnju.
Upečatljiva značajka je njegovo geofencing: SnakeDisk se izvršava samo na uređajima s IP adresama sa sjedištem u Tajlandu, što sužava njegov opseg ciljanja.
Yokai: Stražnja vrata koju isporučuje SnakeDisk
SnakeDisk djeluje kao mehanizam za isporuku za Yokai, backdoor koji postavlja obrnutu ljusku za izvršavanje proizvoljnih naredbi. Yokai, prvi put prijavljen u prosincu 2024., povezan je s kampanjama protiv tajlandskih dužnosnika.
Zlonamjerni softver dijeli tehničke sličnosti s drugim obiteljima backdoor-ova koje se pripisuju Hive0154, uključujući PUBLOAD/PUBSHELL i TONESHELL. Iako su odvojeni sojevi, ove obitelji koriste usporedive strukture i tehnike za komunikaciju s C2 (command-and-control) poslužiteljima.
Strateški fokus na Tajland
Pravila ciljanja ugrađena u SnakeDisk i raspoređivanje Yokaija snažno sugeriraju da se podgrupa Mustang Pande uvelike koncentrira na Tajland. To ukazuje na profinjenu strategiju i prilagođene operacije u jugoistočnoj Aziji.
Ogroman i promjenjiv ekosustav zlonamjernog softvera
Hive0154 se ističe svojom sposobnošću održavanja velikog, međusobno povezanog ekosustava zlonamjernog softvera. Njegovo djelovanje pokazuje:
- Česta preklapanja zlonamjernog koda i tehnika napada.
- Kontinuirano eksperimentiranje s podklasterima i specijaliziranim zlonamjernim softverom.
- Dosljedan tempo razvojnih ciklusa, s naglaskom na prilagodljivost.
Razvojni arsenal Mustang Pande naglašava dugoročnu predanost prijetnje unapređenju svojih špijunskih sposobnosti uz istovremeno izoštravanje regionalnog fokusa.
