หนอน USB SnakeDisk

กลุ่มแฮกเกอร์ที่สนับสนุนจีนอย่าง Mustang Panda ได้เปิดตัวเครื่องมือใหม่ในแคมเปญจารกรรมทางไซเบอร์ นักวิจัยได้บันทึกการใช้แบ็คดอร์ TONESHELL ที่ได้รับการอัพเกรดแล้ว ร่วมกับเวิร์ม USB ที่ไม่เคยมีใครรู้จักมาก่อนชื่อ SnakeDisk การเพิ่มเข้ามาทั้งสองอย่างนี้ช่วยตอกย้ำชื่อเสียงของกลุ่มในฐานะหนึ่งในศัตรูที่ได้รับการสนับสนุนจากรัฐบาลอย่างต่อเนื่องที่สุด

ใครอยู่เบื้องหลังการโจมตีครั้งนี้?

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำลังเฝ้าติดตามกิจกรรมนี้ภายใต้คลัสเตอร์ Hive0154 ซึ่งเป็นชื่อเรียกรวมๆ ของ Mustang Panda คลัสเตอร์นี้ยังเป็นที่รู้จักในนามแฝงหลายชื่อ เช่น BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus และ Twill Typhoon

หลักฐานบ่งชี้ว่า Mustang Panda ได้เคลื่อนไหวมาตั้งแต่ปี 2012 เป็นอย่างน้อย โดยดำเนินการที่เน้นการจารกรรมในนามของผลประโยชน์ของรัฐจีน

SnakeDisk: เวิร์ม USB สุดลึกลับ

SnakeDisk เป็นเวิร์มที่เพิ่งค้นพบใหม่ ซึ่งแพร่กระจายผ่านการโหลดไฟล์ DLL ด้านข้าง เวิร์มนี้อยู่ในตระกูลมัลแวร์ TONESHELL และมีความคล้ายคลึงกับเฟรมเวิร์กเวิร์ม USB อีกตัวหนึ่งอย่าง TONEDISK (หรือที่รู้จักกันในชื่อ WispRider) อย่างชัดเจน

ความสามารถหลักๆ มีดังนี้:

• การตรวจสอบอุปกรณ์ USB ที่เชื่อมต่อเพื่อดูโอกาสในการแพร่กระจาย
• การย้ายไฟล์ USB ที่มีอยู่ไปยังไดเร็กทอรีย่อยที่ซ่อนอยู่ จากนั้นแทนที่ด้วยไฟล์ปฏิบัติการที่เป็นอันตรายซึ่งปลอมตัวเป็นชื่อไดรฟ์ของอุปกรณ์หรือเพียงแค่ USB.exe
• การกู้คืนไฟล์ต้นฉบับเมื่อมัลแวร์ถูกเปิดใช้งานบนระบบใหม่ ช่วยลดความสงสัย

คุณสมบัติที่โดดเด่นคือการกำหนดขอบเขตทางภูมิศาสตร์: SnakeDisk จะทำงานเฉพาะบนอุปกรณ์ที่มีที่อยู่ IP ที่อยู่ในประเทศไทยเท่านั้น จึงทำให้ขอบเขตการกำหนดเป้าหมายแคบลง

Yokai: ประตูหลังที่ส่งมอบโดย SnakeDisk

SnakeDisk ทำหน้าที่เป็นกลไกการส่ง Yokai ซึ่งเป็นแบ็กดอร์ที่ตั้งค่าเชลล์ย้อนกลับเพื่อรันคำสั่งต่างๆ มีรายงานครั้งแรกในเดือนธันวาคม 2567 ว่า Yokai เชื่อมโยงกับแคมเปญต่อต้านเจ้าหน้าที่ไทย

มัลแวร์นี้มีความคล้ายคลึงกันทางเทคนิคกับตระกูลแบ็กดอร์อื่นๆ ที่เกี่ยวข้องกับ Hive0154 ซึ่งรวมถึง PUBLOAD/PUBSHELL และ TONESHELL แม้จะแยกสายพันธุ์กัน แต่ตระกูลเหล่านี้ก็ใช้โครงสร้างและเทคนิคที่คล้ายคลึงกันในการสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2)

มุ่งเน้นเชิงกลยุทธ์ต่อประเทศไทย

กฎการกำหนดเป้าหมายที่มีอยู่ใน SnakeDisk และการใช้งาน Yokai ชี้ให้เห็นอย่างชัดเจนว่ากลุ่มย่อย Mustang Panda กำลังมุ่งเน้นไปที่ประเทศไทยอย่างมาก ซึ่งชี้ให้เห็นถึงกลยุทธ์ที่ปรับปรุงแล้วและการดำเนินงานที่ปรับแต่งให้เหมาะสมในเอเชียตะวันออกเฉียงใต้

ระบบนิเวศมัลแวร์ที่กว้างใหญ่และกำลังพัฒนา

Hive0154 โดดเด่นด้วยความสามารถในการรักษาระบบนิเวศมัลแวร์ขนาดใหญ่ที่เชื่อมโยงถึงกัน การดำเนินงานของ Hive0154 แสดงให้เห็นถึง:

• การทับซ้อนบ่อยครั้งในโค้ดที่เป็นอันตรายและเทคนิคการโจมตี
• การทดลองอย่างต่อเนื่องกับกลุ่มย่อยและมัลแวร์เฉพาะทาง
• วงจรการพัฒนามีจังหวะที่สม่ำเสมอ เน้นที่ความสามารถในการปรับตัว

คลังอาวุธที่พัฒนาขึ้นของ Mustang Panda เน้นย้ำถึงความมุ่งมั่นในระยะยาวของผู้ก่อภัยคุกคามในการพัฒนาศักยภาพในการจารกรรมขณะเดียวกันก็เพิ่มความมุ่งเน้นในระดับภูมิภาคให้ชัดเจนยิ่งขึ้น