Slevová nabídka pro více licencí
Databáze hrozeb Malware USB červ SnakeDisk

USB červ SnakeDisk

V roce Mezo v roce Malware, Červi
Přeložit do:

Čínský kybernetický červ Mustang Panda zavedl nové nástroje do svých kybernetických špionážních kampaní. Výzkumníci nedávno zdokumentovali použití vylepšeného zadního vrátka TONESHELL spolu s dříve neznámým USB červem s názvem SnakeDisk. Oba tyto nástroje posilují pověst skupiny jako jednoho z nejvytrvalejších státem podporovaných protivníků.

Kdo stojí za útoky?

Odborníci na kybernetickou bezpečnost sledují tuto aktivitu v rámci klastru Hive0154, což je zastřešující název spojený s Mustang Panda. Tento klastr je také známý pod několika aliasy, včetně BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus a Twill Typhoon.

Důkazy naznačují, že Mustang Panda je aktivní nejméně od roku 2012 a provádí špionážní operace ve prospěch čínských státních zájmů.

SnakeDisk: Nenápadný USB červ

SnakeDisk je nově identifikovaný červ, který se šíří bočním načítáním DLL. Patří do rodiny malwaru TONESHELL a vykazuje jasné překrývání s jiným frameworkem USB červů, TONEDISK (známým také jako WispRider).

Mezi jeho hlavní schopnosti patří:

  • Monitorování připojených USB zařízení z hlediska možností šíření.
  • Přesunutí existujících souborů USB do skrytého podadresáře a jejich nahrazení škodlivým spustitelným souborem maskovaným jako název svazku zařízení nebo jednoduše USB.exe.
  • Obnovení původních souborů po spuštění malwaru v novém systému snižuje podezření.

Pozoruhodnou vlastností je jeho geofencing: SnakeDisk funguje pouze na zařízeních s IP adresami z Thajska, což zužuje jeho cílový rozsah.

Yokai: Zadní vrátka od SnakeDisku

SnakeDisk funguje jako mechanismus pro doručování pro Yokai, což je backdoor, který nastavuje reverzní shell pro spouštění libovolných příkazů. Yokai, o kterém se poprvé psalo v prosinci 2024, byl spojován s kampaněmi proti thajským úředníkům.

Tento malware sdílí technické podobnosti s dalšími rodinami backdoorů připisovanými Hive0154, včetně PUBLOAD/PUBSHELL a TONESHELL. Ačkoli se jedná o odlišné kmeny, tyto rodiny používají srovnatelné struktury a techniky pro komunikaci se servery velení a řízení (C2).

Strategické zaměření na Thajsko

Pravidla cílení zabudovaná do SnakeDisku a nasazení Yokai silně naznačují, že se podskupina Mustang Panda silně soustředí na Thajsko. To poukazuje na propracovanou strategii a operace na míru v jihovýchodní Asii.

Rozsáhlý a vyvíjející se ekosystém malwaru

Hive0154 vyniká svou schopností udržovat rozsáhlý a propojený ekosystém malwaru. Jeho fungování ukazuje:

  • Časté překrývání škodlivého kódu a útočných technik.
  • Probíhající experimentování s podklastry a specializovaným malwarem.
  • Konzistentní tempo vývojových cyklů s důrazem na přizpůsobivost.

Vyvíjející se arzenál Mustangu Panda podtrhuje dlouhodobý závazek hackera rozvíjet své špionážní schopnosti a zároveň zostřovat své regionální zaměření.

Trendy

Meta - Podvod s programem bezplatné reklamy na úvěry

Phishing, Spam
Podvodníci neustále vymýšlejí způsoby, jak zneužít nic netušící uživatele prostřednictvím podvodných webových stránek a zavádějících nabídek. Jedním z takových podvodných schémat je podvod Meta - Free Advertising Credit Program, který falešně slibuje bezplatné reklamní kredity na kampaně na Facebooku a Instagramu. Je důležité si uvědomit, že tyto podvodné e-maily a webové stránky nejsou spojeny...

Nejvíce shlédnuto

Načítání...