SnakeDisk USB 웜
중국과 연계된 위협 행위자 머스탱 판다가 사이버 스파이 활동에 새로운 도구를 추가했습니다. 연구원들은 최근 업그레이드된 톤쉘 백도어와 이전에 알려지지 않았던 스네이크디스크(SnakeDisk)라는 USB 웜을 함께 사용한 사례를 기록했습니다. 이 두 가지 추가는 머스탱 판다가 국가 지원을 받는 가장 끈질긴 적대 세력 중 하나라는 평판을 더욱 강화합니다.
목차
이 공격의 배후는 누구인가?
사이버 보안 전문가들은 머스탱 판다와 관련된 포괄적 명칭인 Hive0154 클러스터에서 이 활동을 모니터링하고 있습니다. 이 클러스터는 BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon 등 여러 별칭으로도 알려져 있습니다.
증거에 따르면 머스탱 판다는 적어도 2012년부터 중국 국가 이익을 위해 간첩 중심의 작전을 수행해 왔습니다.
SnakeDisk: 은밀한 USB 웜
SnakeDisk는 DLL 사이드 로딩을 통해 확산되는 새롭게 발견된 웜입니다. TONESHELL 맬웨어 계열에 속하며, 다른 USB 웜 프레임워크인 TONEDISK(일명 WispRider)와 뚜렷하게 겹치는 부분이 있습니다.
주요 기능은 다음과 같습니다.
- 연결된 USB 장치의 전파 기회를 모니터링합니다.
- 기존 USB 파일을 숨겨진 하위 디렉토리로 옮긴 다음, 장치의 볼륨 이름이나 간단히 USB.exe로 위장한 악성 실행 파일로 바꿉니다.
- 새로운 시스템에서 맬웨어가 실행되면 원본 파일을 복원하여 의심을 줄입니다.
눈에 띄는 특징은 지오펜싱입니다. SnakeDisk는 태국 기반 IP 주소를 사용하는 기기에서만 실행되므로 타겟팅 범위가 좁아집니다.
요괴: SnakeDisk가 배달하는 백도어
스네이크디스크는 임의의 명령을 실행하기 위해 리버스 셸을 설치하는 백도어인 요카이(Yokai)의 전달 메커니즘 역할을 합니다. 2024년 12월에 처음 보고된 요카이는 태국 공무원을 겨냥한 캠페인과 관련이 있는 것으로 밝혀졌습니다.
이 악성코드는 PUBLOAD/PUBSHELL 및 TONESHELL을 포함하여 Hive0154에 기인하는 다른 백도어 패밀리와 기술적 유사성을 공유합니다. 서로 다른 변종이지만, 이러한 패밀리는 명령 및 제어(C2) 서버와 통신하는 데 유사한 구조와 기술을 사용합니다.
태국에 대한 전략적 초점
스네이크디스크에 내장된 타겟팅 규칙과 요괴의 배치는 머스탱 판다 소집단이 태국에 집중하고 있음을 강력히 시사합니다. 이는 동남아시아에서 정교한 전략과 맞춤형 작전을 펼치고 있음을 시사합니다.
광활하고 진화하는 맬웨어 생태계
Hive0154는 대규모의 상호 연결된 맬웨어 생태계를 유지하는 능력으로 두각을 나타냅니다. Hive0154의 운영 방식은 다음과 같습니다.
- 악성 코드와 공격 기법이 자주 중복됩니다.
- 하위 클러스터와 특수 맬웨어에 대한 지속적인 실험.
- 일관된 속도의 개발 주기를 통해 적응성을 강조합니다.
머스탱 판다의 진화하는 무기고는 위협 행위자가 지역에 대한 초점을 강화하는 동시에 간첩 역량을 향상시키려는 장기적인 의지를 강조합니다.
