USB červ SnakeDisk
Čínska kybernetická špionážna skupina Mustang Panda zaviedla nové nástroje do svojich kybernetických špionážnych kampaní. Výskumníci nedávno zdokumentovali použitie vylepšeného zadného vrátka TONESHELL spolu s predtým neznámym USB červom s názvom SnakeDisk. Oba tieto nástroje posilňujú reputáciu skupiny ako jedného z najvytrvalejších štátom podporovaných protivníkov.
Obsah
Kto stojí za útokmi?
Odborníci na kybernetickú bezpečnosť monitorujú túto aktivitu v rámci klastra Hive0154, čo je zastrešujúci názov spojený s Mustang Panda. Tento klaster je známy aj pod niekoľkými prezývkami, vrátane BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus a Twill Typhoon.
Dôkazy naznačujú, že Mustang Panda je aktívna minimálne od roku 2012 a vykonáva špionážne operácie v mene záujmov čínskeho štátu.
SnakeDisk: Nenápadný USB červ
SnakeDisk je novo identifikovaný červ, ktorý sa šíri bočným zavádzaním DLL. Patrí do rodiny malvéru TONESHELL a vykazuje jasné prekrývanie s iným systémom USB červov, TONEDISK (známym aj ako WispRider).
Medzi jeho hlavné schopnosti patrí:
- Monitorovanie pripojených USB zariadení z hľadiska príležitostí na šírenie.
- Presunutie existujúcich súborov USB do skrytého podadresára a ich nahradenie škodlivým spustiteľným súborom maskovaným ako názov zväzku zariadenia alebo jednoducho USB.exe.
- Obnovenie pôvodných súborov po spustení škodlivého softvéru v novom systéme, čím sa znižuje podozrenie.
Pozoruhodnou vlastnosťou je jeho geofencing: SnakeDisk funguje iba na zariadeniach s IP adresami so sídlom v Thajsku, čím sa zužuje jeho rozsah zacielenia.
Yokai: Zadné vrátka od SnakeDisk
SnakeDisk funguje ako mechanizmus doručovania pre Yokai, zadné vrátka, ktoré nastavujú reverzný shell na spúšťanie ľubovoľných príkazov. Yokai, o ktorom sa prvýkrát informovalo v decembri 2024, bol spájaný s kampaňami proti thajským úradníkom.
Tento malvér má technické podobnosti s inými rodinami backdoorov pripisovanými Hive0154, vrátane PUBLOAD/PUBSHELL a TONESHELL. Hoci ide o samostatné kmene, tieto rodiny používajú porovnateľné štruktúry a techniky na komunikáciu so servermi velenia a riadenia (C2).
Strategické zameranie na Thajsko
Pravidlá cielenia zabudované do SnakeDisku a nasadenie Yokai silne naznačujú, že podskupina Mustang Panda sa vo veľkej miere sústreďuje na Thajsko. To poukazuje na prepracovanú stratégiu a prispôsobené operácie v juhovýchodnej Ázii.
Rozsiahly a vyvíjajúci sa ekosystém malvéru
Hive0154 vyniká svojou schopnosťou udržiavať rozsiahly a prepojený ekosystém škodlivého softvéru. Jeho fungovanie demonštruje:
- Časté prekrývanie škodlivého kódu a útočných techník.
- Prebiehajúce experimentovanie so subklastrami a špecializovaným malvérom.
- Konzistentné tempo vývojových cyklov, ktoré zdôrazňuje prispôsobivosť.
Rozvíjajúci sa arzenál Mustangu Panda podčiarkuje dlhodobý záväzok aktéra hrozby rozvíjať svoje špionážne schopnosti a zároveň zintenzívňovať svoje regionálne zameranie.
