Cacing USB SnakeDisk
Pelakon ancaman sejajar China yang dikenali sebagai Mustang Panda telah melancarkan alat baharu dalam kempen pengintipan sibernya. Penyelidik baru-baru ini telah mendokumentasikan penggunaan pintu belakang TONESHELL yang dinaik taraf bersama cecacing USB yang sebelum ini tidak dikenali yang digelar SnakeDisk. Kedua-dua penambahan itu mengukuhkan reputasi kumpulan sebagai salah satu musuh tajaan kerajaan yang paling gigih.
Isi kandungan
Siapa di Sebalik Serangan?
Pakar keselamatan siber memantau aktiviti ini di bawah kluster Hive0154, nama payung yang dikaitkan dengan Mustang Panda. Kelompok ini juga dikenali dengan beberapa alias, termasuk BASIN, Presiden Gangsa, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus dan Twill Typhoon.
Bukti menunjukkan bahawa Mustang Panda telah aktif sejak sekurang-kurangnya 2012, menjalankan operasi tertumpu pengintipan bagi pihak kepentingan negara China.
SnakeDisk: Cacing USB Senyap
SnakeDisk ialah cecacing yang baru dikenal pasti yang merebak melalui pemuatan sisi DLL. Ia tergolong dalam keluarga perisian hasad TONESHELL dan menunjukkan pertindihan yang jelas dengan rangka kerja cecacing USB yang lain, TONEDISK (aka WispRider).
Keupayaan utamanya termasuk:
- Memantau peranti USB yang disambungkan untuk peluang penyebaran.
- Memindahkan fail USB sedia ada ke dalam subdirektori tersembunyi, kemudian menggantikannya dengan boleh laku berniat jahat yang menyamar sebagai nama volum peranti atau hanya USB.exe.
- Memulihkan fail asal setelah perisian hasad dicetuskan pada sistem baharu, mengurangkan syak wasangka.
Ciri yang menarik ialah geofencingnya: SnakeDisk hanya melaksanakan pada peranti dengan alamat IP berasaskan Thailand, mengecilkan skop penyasarannya.
Yokai: Pintu Belakang Dihantar oleh SnakeDisk
SnakeDisk bertindak sebagai mekanisme penghantaran untuk Yokai, pintu belakang yang menyediakan cangkerang terbalik untuk menjalankan arahan sewenang-wenangnya. Pertama kali dilaporkan pada Disember 2024, Yokai dikaitkan dengan kempen menentang pegawai Thailand.
Perisian hasad berkongsi persamaan teknikal dengan keluarga pintu belakang lain yang dikaitkan dengan Hive0154, termasuk PUBLOAD/PUBSHELL dan TONESHELL. Walaupun strain berasingan, keluarga ini menggunakan struktur dan teknik yang setanding untuk berkomunikasi dengan pelayan arahan dan kawalan (C2).
Tumpuan Strategik di Thailand
Peraturan penyasaran yang terbina dalam SnakeDisk dan penggunaan Yokai amat mencadangkan bahawa subkumpulan Mustang Panda menumpukan perhatian yang besar di Thailand. Ini menunjukkan strategi yang diperhalusi dan operasi yang disesuaikan di Asia Tenggara.
Ekosistem Perisian Hasad yang Luas dan Berkembang
Hive0154 menonjol kerana keupayaannya untuk mengekalkan ekosistem perisian hasad yang besar dan saling berkaitan. Operasinya menunjukkan:
- Pertindihan yang kerap dalam kod berniat jahat dan teknik serangan.
- Percubaan berterusan dengan subkelompok dan perisian hasad khusus.
- Kadar kitaran pembangunan yang konsisten, menonjolkan kebolehsuaian.
Senjata Mustang Panda yang semakin berkembang menggariskan komitmen jangka panjang pelakon ancaman itu untuk memajukan keupayaan pengintipannya sambil mempertajam fokus serantaunya.
