SnakeDisk USB Worm
Ang aktor ng pagbabanta na nakahanay sa China na kilala bilang Mustang Panda ay naglunsad ng mga bagong tool sa mga kampanyang cyber-espionage nito. Naidokumento kamakailan ng mga mananaliksik ang paggamit ng isang na-upgrade na TONESHELL backdoor kasama ang isang dating hindi kilalang USB worm na tinatawag na SnakeDisk. Ang parehong mga karagdagan ay nagpapatibay sa reputasyon ng grupo bilang isa sa mga pinaka-patuloy na kalaban na inisponsor ng estado.
Talaan ng mga Nilalaman
Sino ang Nasa likod ng mga Pag-atake?
Sinusubaybayan ng mga eksperto sa cybersecurity ang aktibidad na ito sa ilalim ng cluster Hive0154, isang payong pangalan na nakatali sa Mustang Panda. Ang cluster na ito ay kilala rin sa ilang mga alias, kabilang ang BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, at Twill Typhoon.
Ipinahihiwatig ng ebidensiya na ang Mustang Panda ay naging aktibo mula pa noong 2012, nagsasagawa ng mga operasyong nakatuon sa espiya sa ngalan ng mga interes ng estado ng China.
SnakeDisk: Isang Palihim na USB Worm
Ang SnakeDisk ay isang bagong natukoy na worm na kumakalat sa pamamagitan ng DLL side-loading. Ito ay kabilang sa TONESHELL malware family at nagpapakita ng malinaw na mga overlap sa isa pang USB worm framework, TONEDISK (aka WispRider).
Kabilang sa mga pangunahing kakayahan nito ang:
- Pagsubaybay sa mga konektadong USB device para sa mga pagkakataon sa pagpapalaganap.
- Ang paglipat ng mga kasalukuyang USB file sa isang nakatagong subdirectory, pagkatapos ay palitan ang mga ito ng isang nakakahamak na executable na itinago bilang pangalan ng volume ng device o simpleng USB.exe.
- Ibinabalik ang mga orihinal na file kapag na-trigger ang malware sa isang bagong system, na binabawasan ang hinala.
Ang isang kapansin-pansing feature ay ang geofencing nito: Ang SnakeDisk ay gumagana lamang sa mga device na may mga IP address na nakabase sa Thailand, na nagpapaliit sa saklaw ng pag-target nito.
Yokai: Ang Backdoor na Inihatid ng SnakeDisk
Ang SnakeDisk ay gumaganap bilang isang mekanismo ng paghahatid para sa Yokai, isang backdoor na nagse-set up ng reverse shell upang magpatakbo ng mga arbitrary na command. Unang iniulat noong Disyembre 2024, na-link si Yokai sa mga kampanya laban sa mga opisyal ng Thai.
Ang malware ay nagbabahagi ng mga teknikal na pagkakatulad sa iba pang mga pamilya sa backdoor na nauugnay sa Hive0154, kabilang ang PUBLOAD/PUBSHELL at TONESHELL. Habang magkahiwalay ang mga strain, ang mga pamilyang ito ay gumagamit ng mga maihahambing na istruktura at diskarte para makipag-ugnayan sa mga server ng command-and-control (C2).
Madiskarteng Pokus sa Thailand
Ang mga panuntunan sa pag-target na binuo sa SnakeDisk at ang deployment ng Yokai ay lubos na nagmumungkahi na ang isang subgroup ng Mustang Panda ay lubos na nakatuon sa Thailand. Ito ay tumutukoy sa isang pinong diskarte at iniangkop na mga operasyon sa Southeast Asia.
Isang malawak at umuusbong na Malware Ecosystem
Namumukod-tangi ang Hive0154 para sa kakayahang magpanatili ng malaki, magkakaugnay na malware ecosystem. Ang mga operasyon nito ay nagpapakita ng:
- Mga madalas na overlap sa malisyosong code at mga diskarte sa pag-atake.
- Patuloy na pag-eeksperimento sa mga subcluster at espesyal na malware.
- Isang pare-parehong bilis ng mga siklo ng pag-unlad, na nagbibigay-diin sa kakayahang umangkop.
Binibigyang-diin ng umuusbong na arsenal ng Mustang Panda ang pangmatagalang pangako ng banta ng aktor sa pagsulong ng mga kakayahan nito sa pag-espiya habang pinatataas ang panrehiyong pokus nito.
