SnakeDiski USB-uss
Hiinaga seotud ohurühmitus Mustang Panda on oma küberspionaažikampaaniates kasutusele võtnud uusi tööriistu. Teadlased on hiljuti dokumenteerinud täiustatud TONESHELL-i tagaukse kasutamise koos seni tundmatu USB-ussiga SnakeDisk. Mõlemad lisandused tugevdavad rühmituse mainet ühe järjekindlama riiklikult toetatud vastasena.
Sisukord
Kes on rünnakute taga?
Küberjulgeolekueksperdid jälgivad seda tegevust klastri Hive0154 all, mis on Mustang Pandaga seotud katusnimetus. Seda klastrit tuntakse ka mitme varjunime all, sealhulgas BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus ja Twill Typhoon.
Tõendid näitavad, et Mustang Panda on tegutsenud vähemalt alates 2012. aastast, viies läbi spionaažile keskendunud operatsioone Hiina riigi huvide nimel.
SnakeDisk: salakaval USB-uss
SnakeDisk on äsja tuvastatud uss, mis levib DLL-ide külglaadimise kaudu. See kuulub TONESHELL-i pahavaraperekonda ja näitab selgeid kattumisi teise USB-ussi raamistikuga TONEDISK (tuntud ka kui WispRider).
Selle peamised võimed hõlmavad järgmist:
- Ühendatud USB-seadmete jälgimine levimisvõimaluste osas.
- Olemasolevate USB-failide teisaldamine peidetud alamkataloogi ja seejärel nende asendamine pahatahtliku käivitatava failiga, mis on maskeeritud seadme köite nimeks või lihtsalt USB.exe-ks.
- Algsete failide taastamine pärast pahavara käivitumist uues süsteemis, vähendades kahtlust.
Silmatorkav omadus on selle geopiirded: SnakeDisk töötab ainult Tai IP-aadressidega seadmetes, mis kitsendab sihtimise ulatust.
Yokai: Tagauks, mille toimetas SnakeDisk
SnakeDisk toimib Yokai edastusmehhanismina – see on tagauks, mis loob vastupidise kesta suvaliste käskude käivitamiseks. Esmakordselt teatati Yokai'st 2024. aasta detsembris ja seda seostati kampaaniatega Tai ametnike vastu.
Pahavaral on tehnilisi sarnasusi teiste Hive0154-le omistatud tagauste perekondadega, sealhulgas PUBLOAD/PUBSHELL ja TONESHELL. Kuigi tegemist on eraldi tüvedega, kasutavad need perekonnad juhtimis- ja kontrollserveritega (C2) suhtlemiseks sarnaseid struktuure ja tehnikaid.
Strateegiline fookus Taile
SnakeDiski sisseehitatud sihtimisreeglid ja Yokai kasutuselevõtt viitavad tugevalt sellele, et Mustang Panda alamrühm keskendub suuresti Taile. See viitab täiustatud strateegiale ja kohandatud operatsioonidele Kagu-Aasias.
Tohutu ja arenev pahavara ökosüsteem
Hive0154 paistab silma oma võime poolest säilitada suurt ja omavahel ühendatud pahavara ökosüsteemi. Selle tegevus näitab:
- Pahatahtliku koodi ja rünnakutehnikate sagedased kattumised.
- Käimasolevad katsetused alamklastrite ja spetsialiseeritud pahavaraga.
- Järjepidev arengutsüklite tempo, mis rõhutab kohanemisvõimet.
Mustang Panda arenev arsenal rõhutab ohutegelase pikaajalist pühendumust oma spionaaživõimekuse arendamisele, teravdades samal ajal oma piirkondlikku fookust.
