SnakeDisk USB蠕虫
与中国结盟的威胁行为者“野马熊猫”(Mustang Panda)在其网络间谍活动中推出了新的工具。研究人员最近记录到,该组织使用了升级版的TONESHELL后门以及一种名为SnakeDisk的未知USB蠕虫病毒。这两项新增功能进一步巩固了该组织作为最持久的国家支持对手之一的声誉。
目录
袭击背后是谁?
网络安全专家正在监控集群 Hive0154 下的此类活动,该集群是与 Mustang Panda 相关的一个总称。该集群还有多个别名,包括 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus 和 Twill Typhoon。
证据表明,野马熊猫至少自 2012 年以来一直活跃,代表中国国家利益开展以间谍为重点的行动。
SnakeDisk:一种隐秘的USB蠕虫
SnakeDisk 是一种新发现的蠕虫病毒,通过 DLL 侧载进行传播。它属于 TONESHELL 恶意软件家族,与另一个 USB 蠕虫框架 TONEDISK(又名 WispRider)有明显的重叠。
其主要功能包括:
- 监控连接的 USB 设备以寻找传播机会。
- 将现有的 USB 文件移动到隐藏的子目录中,然后用伪装成设备卷名或简单的 USB.exe 的恶意可执行文件替换它们。
- 一旦恶意软件在新系统上触发,就恢复原始文件,以减少怀疑。
一个引人注目的特点是它的地理围栏:SnakeDisk 仅在具有泰国 IP 地址的设备上运行,从而缩小了其目标范围。
《妖怪:SnakeDisk 提供的后门》
SnakeDisk 充当了 Yokai 的投递机制,Yokai 是一个后门程序,用于设置反向 shell 来运行任意命令。Yokai 于 2024 年 12 月首次被发现,并被认为与针对泰国官员的活动有关。
该恶意软件与其他归因于 Hive0154 的后门家族(包括 PUBLOAD/PUBSHELL 和 TONESHELL)在技术上存在相似之处。虽然这些家族属于不同的毒株,但它们使用类似的结构和技术与命令与控制 (C2) 服务器进行通信。
战略重点:泰国
SnakeDisk内置的目标定位规则以及妖怪的部署强烈暗示,Mustang Panda分支正重点关注泰国。这表明该组织在东南亚采取了更精细的战略和有针对性的行动。
庞大且不断发展的恶意软件生态系统
Hive0154 因其维护庞大且互联互通的恶意软件生态系统的能力而脱颖而出。其运营方式表明:
- 恶意代码和攻击技术经常重叠。
- 正在对子集群和专门的恶意软件进行实验。
- 一致的开发周期节奏,突出适应性。
Mustang Panda 不断增强的武器库凸显了该威胁行为者长期致力于提升其间谍能力并加强其区域重点。
