Robak USB SnakeDisk
Powiązany z Chinami podmiot cyberzagrożeń znany jako Mustang Panda wdrożył nowe narzędzia w swoich kampaniach cyberszpiegostwa. Badacze udokumentowali ostatnio użycie ulepszonego backdoora TONESHELL wraz z nieznanym wcześniej robakiem USB o nazwie SnakeDisk. Oba te dodatki wzmacniają reputację grupy jako jednego z najbardziej wytrwałych przeciwników sponsorowanych przez państwo.
Spis treści
Kto stoi za atakami?
Eksperci ds. cyberbezpieczeństwa monitorują tę aktywność w ramach klastra Hive0154, którego nazwa jest zbiorcza i jest powiązana z Mustangiem Pandą. Klaster ten jest również znany pod kilkoma aliasami, takimi jak BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus i Twill Typhoon.
Dowody wskazują, że Mustang Panda działa co najmniej od 2012 r., przeprowadzając operacje szpiegowskie na rzecz chińskich interesów państwowych.
SnakeDisk: ukryty robak USB
SnakeDisk to nowo zidentyfikowany robak rozprzestrzeniający się poprzez boczne ładowanie bibliotek DLL. Należy do rodziny złośliwego oprogramowania TONESHELL i wykazuje wyraźne podobieństwo do innego frameworka robaków USB, TONEDISK (znanego również jako WispRider).
Jego główne możliwości obejmują:
- Monitorowanie podłączonych urządzeń USB w celu sprawdzenia możliwości propagacji.
- Przenoszenie istniejących plików USB do ukrytego podkatalogu, a następnie zastępowanie ich złośliwym plikiem wykonywalnym zamaskowanym jako nazwa woluminu urządzenia lub po prostu USB.exe.
- Przywracanie oryginalnych plików po uruchomieniu złośliwego oprogramowania w nowym systemie, co zmniejsza podejrzenia.
Cechą charakterystyczną programu jest jego geofencing: SnakeDisk działa tylko na urządzeniach z adresami IP zlokalizowanymi w Tajlandii, co zawęża zakres jego działania.
Yokai: The Backdoor dostarczone przez SnakeDisk
SnakeDisk działa jako mechanizm dostarczania Yokai, backdoora, który konfiguruje odwrotną powłokę do uruchamiania dowolnych poleceń. Po raz pierwszy zgłoszony w grudniu 2024 roku, Yokai był powiązany z kampaniami przeciwko tajskim urzędnikom.
Szkodliwe oprogramowanie ma podobieństwa techniczne do innych rodzin backdoorów przypisywanych do Hive0154, w tym PUBLOAD/PUBSHELL i TONESHELL. Choć są to odrębne odmiany, rodziny te wykorzystują podobne struktury i techniki do komunikacji z serwerami poleceń i kontroli (C2).
Strategiczne skupienie się na Tajlandii
Reguły namierzania wbudowane w SnakeDisk i wdrożenie Yokai zdecydowanie sugerują, że podgrupa Mustang Panda koncentruje się głównie na Tajlandii. Wskazuje to na udoskonaloną strategię i dostosowane działania w Azji Południowo-Wschodniej.
Ogromny i rozwijający się ekosystem złośliwego oprogramowania
Hive0154 wyróżnia się zdolnością do utrzymania dużego, połączonego ekosystemu złośliwego oprogramowania. Jego działania dowodzą:
- Częste pokrywanie się złośliwego kodu i technik ataku.
- Trwające eksperymenty z podklastrami i specjalistycznym złośliwym oprogramowaniem.
- Stałe tempo cykli rozwojowych, podkreślające zdolność adaptacji.
Rozwijający się arsenał Mustang Panda świadczy o długoterminowym zaangażowaniu tego podmiotu w rozwijanie swoich możliwości szpiegowskich, przy jednoczesnym zwiększaniu koncentracji na regionie.
