SnakeDisk USB féreg
A Kínával együttműködő Mustang Panda nevű fenyegetés új eszközöket vezetett be kiberkémkedési kampányaiban. A kutatók nemrégiben dokumentálták egy továbbfejlesztett TONESHELL hátsó ajtó használatát egy korábban ismeretlen, SnakeDisk nevű USB-féreggel együtt. Mindkét újítás megerősíti a csoport hírnevét, mint az egyik legkitartóbb államilag támogatott ellenfél.
Tartalomjegyzék
Ki áll a támadások mögött?
Kiberbiztonsági szakértők figyelik ezt a tevékenységet a Hive0154 klaszter alatt, amely a Mustang Pandához köthető gyűjtőnév. A klaszter számos álnéven is ismert, többek között a BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus és Twill Typhoon.
A bizonyítékok arra utalnak, hogy a Mustang Panda legalább 2012 óta aktív, és kémkedésre összpontosító műveleteket hajtott végre kínai állami érdekek érdekében.
SnakeDisk: Egy alattomos USB féreg
A SnakeDisk egy újonnan azonosított féreg, amely DLL oldaltöltéssel terjed. A TONESHELL kártevőcsaládhoz tartozik, és egyértelmű átfedéseket mutat egy másik USB féreg keretrendszerrel, a TONEDISK-kel (más néven WispRider).
Fő képességei a következők:
- A csatlakoztatott USB-eszközök figyelése a terjedési lehetőségek szempontjából.
- Meglévő USB-fájlok áthelyezése egy rejtett alkönyvtárba, majd lecserélése egy rosszindulatú futtatható fájlra, amely az eszköz kötetnevének vagy egyszerűen USB.exe-nek álcázva van.
- Az eredeti fájlok visszaállítása, miután a kártevő egy új rendszeren aktiválódott, csökkentve a gyanút.
Feltűnő tulajdonsága a geofencing: a SnakeDisk csak thaiföldi IP-címmel rendelkező eszközökön fut, így szűkíti a célzási hatókörét.
Yokai: A hátsó ajtó, amelyet a SnakeDisk szállított
A SnakeDisk a Yokai kézbesítési mechanizmusaként működik, amely egy hátsó ajtó, amely egy fordított shell-t állít fel tetszőleges parancsok futtatásához. A Yokairól először 2024 decemberében számoltak be, és thai tisztviselők elleni kampányokhoz kapcsolták.
A rosszindulatú program technikai hasonlóságokat mutat más, a Hive0154-hez köthető hátsóajtó-családokkal, beleértve a PUBLOAD/PUBSHELL-t és a TONESHELL-t. Bár különálló törzsek, ezek a családok hasonló struktúrákat és technikákat használnak a parancs-és-vezérlési (C2) szerverekkel való kommunikációhoz.
Stratégiai fókusz Thaiföldön
A SnakeDiskbe beépített célzási szabályok és a Yokai telepítése erősen arra utalnak, hogy a Mustang Panda alcsoport nagy hangsúlyt fektet Thaiföldre. Ez egy finomított stratégiára és testreszabott délkelet-ázsiai műveletekre utal.
Egy hatalmas és fejlődő kártevő-ökoszisztéma
A Hive0154 kiemelkedik a nagyméretű, összekapcsolt kártevő-ökoszisztéma fenntartásának képességével. Működése a következőket mutatja:
- Gyakori átfedések a rosszindulatú kódok és a támadási technikák között.
- Folyamatos kísérletezés alcsoportokkal és specializált rosszindulatú programokkal.
- A fejlesztési ciklusok következetes üteme, kiemelve az alkalmazkodóképességet.
A Mustang Panda folyamatosan fejlődő fegyverarzenálja jól mutatja a kiberfenyegető szereplő hosszú távú elkötelezettségét kémkedési képességeinek fejlesztése, valamint regionális fókuszának erősítése iránt.
