SnakeDisk USB tārps
Ar Ķīnu saistītais apdraudējumu grupējums Mustang Panda ir ieviesis jaunus rīkus savās kiberizlūkošanas kampaņās. Pētnieki nesen ir dokumentējuši uzlabotas TONESHELL aizmugures durvju izmantošanu līdzās iepriekš nezināmam USB tārpam ar nosaukumu SnakeDisk. Abi papildinājumi nostiprina grupas reputāciju kā viena no neatlaidīgākajiem valsts sponsorētajiem pretiniekiem.
Satura rādītājs
Kas stāv aiz uzbrukumiem?
Kiberdrošības eksperti uzrauga šo aktivitāti klastera Hive0154 ietvaros, kas ir jumta nosaukums, kas saistīts ar Mustang Panda. Šis klasteris ir pazīstams arī ar vairākiem pseidonīmiem, tostarp BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus un Twill Typhoon.
Pierādījumi liecina, ka Mustang Panda ir bijusi aktīva vismaz kopš 2012. gada, veicot uz spiegošanu vērstas operācijas Ķīnas valsts interešu vārdā.
SnakeDisk: slepens USB tārps
SnakeDisk ir nesen identificēts tārps, kas izplatās, izmantojot DLL sānu ielādi. Tas pieder pie TONESHELL ļaunprogrammatūru saimes un uzrāda skaidru pārklāšanos ar citu USB tārpa ietvaru — TONEDISK (jeb WispRider).
Tās galvenās iespējas ietver:
- Pievienoto USB ierīču uzraudzība, lai noteiktu izplatīšanās iespējas.
- Esošo USB failu pārvietošana uz slēptu apakšdirektoriju un pēc tam to aizstāšana ar ļaunprātīgu izpildāmo failu, kas maskēts kā ierīces sējuma nosaukums vai vienkārši USB.exe.
- Sākotnējo failu atjaunošana pēc ļaunprogrammatūras aktivizēšanas jaunā sistēmā, tādējādi mazinot aizdomas.
Pārsteidzoša iezīme ir tā ģeogrāfiskā norobežošana: SnakeDisk darbojas tikai ierīcēs ar Taizemē bāzētām IP adresēm, tādējādi sašaurinot mērķauditorijas atlases diapazonu.
Yokai: The Backdoor, ko piegādā SnakeDisk
SnakeDisk darbojas kā piegādes mehānisms Yokai — aizmugurējai durvīm, kas izveido apgrieztu čaulu patvaļīgu komandu izpildei. Pirmo reizi ziņots 2024. gada decembrī, ka Yokai ir saistīts ar kampaņām pret Taizemes amatpersonām.
Ļaunprogrammatūrai ir tehniskas līdzības ar citām aizmugurējo durvju saimēm, kas tiek piedēvētas Hive0154, tostarp PUBLOAD/PUBSHELL un TONESHELL. Lai gan šīs saimes ir atsevišķas, tās izmanto līdzīgas struktūras un metodes saziņai ar vadības un kontroles (C2) serveriem.
Stratēģiska uzmanība Taizemei
SnakeDisk iebūvētie mērķauditorijas atlases noteikumi un Yokai izvietošana stingri norāda, ka Mustang Panda apakšgrupa galvenokārt koncentrējas uz Taizemi. Tas norāda uz uzlabotu stratēģiju un pielāgotām operācijām Dienvidaustrumāzijā.
Plaša un mainīga ļaunprogrammatūras ekosistēma
Hive0154 izceļas ar spēju uzturēt plašu, savstarpēji savienotu ļaunprogrammatūras ekosistēmu. Tā darbība demonstrē:
- Bieža ļaunprātīgā koda un uzbrukuma metožu pārklāšanās.
- Pastāvīgi eksperimenti ar apakšklasteriem un specializētu ļaunprogrammatūru.
- Vienmērīgs attīstības ciklu temps, izceļot pielāgošanās spēju.
Mustang Panda attīstītais arsenāls uzsver apdraudējuma izvirzītāja ilgtermiņa apņemšanos attīstīt savas spiegošanas spējas, vienlaikus pastiprinot reģionālo fokusu.
