SnakeDisk USB Solucanı
Mustang Panda olarak bilinen Çin yanlısı tehdit aktörü, siber casusluk kampanyalarında yeni araçlar kullanmaya başladı. Araştırmacılar, yakın zamanda geliştirilmiş bir TONESHELL arka kapısının, daha önce bilinmeyen SnakeDisk adlı bir USB solucanıyla birlikte kullanıldığını belgeledi. Her iki ekleme de grubun en ısrarcı devlet destekli saldırganlardan biri olarak ününü pekiştiriyor.
İçindekiler
Saldırıların Arkasında Kimler Var?
Siber güvenlik uzmanları, bu etkinliği Mustang Panda ile bağlantılı bir şemsiye isim olan Hive0154 kümesi altında izliyor. Bu küme ayrıca BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus ve Twill Typhoon gibi çeşitli takma adlarla da biliniyor.
Mustang Panda'nın en az 2012'den beri Çin devlet çıkarları adına casusluk odaklı operasyonlar yürüttüğüne dair kanıtlar var.
SnakeDisk: Gizli Bir USB Solucanı
SnakeDisk, DLL yan yükleme yoluyla yayılan yeni tanımlanmış bir solucandır. TONESHELL kötü amaçlı yazılım ailesine aittir ve başka bir USB solucanı olan TONEDISK (diğer adıyla WispRider) ile belirgin örtüşmeler göstermektedir.
Başlıca yetenekleri şunlardır:
- Bağlı USB aygıtlarının yayılma fırsatları açısından izlenmesi.
- Mevcut USB dosyalarını gizli bir alt dizine taşıyıp, bunları cihazın birim adı veya basitçe USB.exe olarak gizlenmiş kötü amaçlı bir yürütülebilir dosyayla değiştirmek.
- Kötü amaçlı yazılım yeni bir sistemde tetiklendiğinde orijinal dosyaları geri yükleyerek şüpheyi azaltır.
Dikkat çeken bir özelliği ise coğrafi sınırlaması: SnakeDisk yalnızca Tayland merkezli IP adreslerine sahip cihazlarda çalışıyor ve bu da hedefleme kapsamını daraltıyor.
Yokai: SnakeDisk Tarafından Sunulan Arka Kapı
SnakeDisk, keyfi komutları çalıştırmak için ters bir kabuk oluşturan bir arka kapı olan Yokai için bir dağıtım mekanizması görevi görüyor. İlk olarak Aralık 2024'te bildirilen Yokai, Taylandlı yetkililere yönelik kampanyalarla ilişkilendirilmişti.
Kötü amaçlı yazılım, Hive0154'e atfedilen PUBLOAD/PUBSHELL ve TONESHELL gibi diğer arka kapı aileleriyle teknik benzerlikler taşımaktadır. Ayrı türler olsalar da, bu aileler komuta ve kontrol (C2) sunucularıyla iletişim kurmak için benzer yapılar ve teknikler kullanır.
Tayland’a Stratejik Odaklanma
SnakeDisk'e entegre hedefleme kuralları ve Yokai'nin konuşlandırılması, Mustang Panda alt grubunun Tayland'a yoğun bir şekilde odaklandığını açıkça gösteriyor. Bu durum, Güneydoğu Asya'da hassas bir stratejiye ve özel operasyonlara işaret ediyor.
Geniş ve Gelişen Bir Kötü Amaçlı Yazılım Ekosistemi
Hive0154, geniş ve birbirine bağlı bir kötü amaçlı yazılım ekosistemini sürdürme becerisiyle öne çıkıyor. Operasyonları şunları gösteriyor:
- Kötü amaçlı kod ve saldırı tekniklerinde sık sık örtüşmeler yaşanıyor.
- Alt kümeler ve özel kötü amaçlı yazılımlarla devam eden deneyler.
- Uyum yeteneğinin ön plana çıktığı, istikrarlı bir gelişim döngüsü.
Mustang Panda'nın gelişen cephaneliği, tehdit aktörünün casusluk yeteneklerini geliştirme ve bölgesel odağını keskinleştirme konusundaki uzun vadeli kararlılığını vurguluyor.
