„SnakeDisk“ USB kirminas
Su Kinija susijęs kibernetinio šnipinėjimo veikėjas, žinomas kaip „Mustang Panda“, savo kibernetinio šnipinėjimo kampanijose pristatė naujų įrankių. Tyrėjai neseniai užfiksavo atnaujinto „TONESHELL“ galinio durų naudojimą kartu su anksčiau nežinomu USB kirminu, vadinamu „SnakeDisk“. Abu papildymai sustiprina grupės, kaip vienos iš atkakliausių valstybės remiamų priešininkų, reputaciją.
Turinys
Kas slypi už šių išpuolių?
Kibernetinio saugumo ekspertai stebi šią veiklą pagal klasterį „Hive0154“ – skėtinį pavadinimą, susietą su „Mustang Panda“. Šis klasteris taip pat žinomas keliais slapyvardžiais, įskaitant „BASIN“, „Bronze President“, „Camaro Dragon“, „Earth Preta“, „HoneyMyte“, „Polaris“, „RedDelta“, „Stately Taurus“ ir „Twill Typhoon“.
Įrodymai rodo, kad „Mustang Panda“ veikia mažiausiai nuo 2012 m. ir vykdė šnipinėjimo operacijas Kinijos valstybės interesų vardu.
„SnakeDisk“: slaptas USB kirminas
„SnakeDisk“ yra naujai identifikuotas kirminas, plintantis per DLL šoninį įkėlimą. Jis priklauso TONESHELL kenkėjiškų programų šeimai ir aiškiai sutampa su kita USB kirminų sistema – TONEDISK (dar žinoma kaip WispRider).
Pagrindinės jo galimybės apima:
- Prijungtų USB įrenginių stebėjimas dėl sklidimo galimybių.
- Esamų USB failų perkėlimas į paslėptą pakatalogį, o tada jų pakeitimas kenkėjišku vykdomuoju failu, užmaskuotu kaip įrenginio tomo pavadinimas arba tiesiog USB.exe.
- Atkuriant originalius failus, kai kenkėjiška programa suaktyvinama naujoje sistemoje, sumažinamas įtarimas.
Ryškus bruožas yra geofencingas: „SnakeDisk“ veikia tik įrenginiuose, kurių IP adresai yra Tailande, todėl susiaurinama taikymo sritis.
„Yokai: The Backdoor“, pristatytas „SnakeDisk“
„SnakeDisk“ veikia kaip „Yokai“ – galinių durų, kurios sukuria atvirkštinį apvalkalą savavališkoms komandoms vykdyti, – pristatymo mechanizmas. Pirmą kartą apie „Yokai“ buvo pranešta 2024 m. gruodžio mėn., kai jis buvo susietas su kampanijomis prieš Tailando pareigūnus.
Kenkėjiška programa techniškai panaši į kitas „Hive0154“ priskiriamas „backdoor“ virusų šeimas, įskaitant „PUBLOAD/PUBSHELL“ ir „TONESHELL“. Nors šios šeimos yra atskiros, jos naudoja panašias struktūras ir metodus bendraudamos su komandų ir valdymo (C2) serveriais.
Strateginis dėmesys Tailandui
„SnakeDisk“ integruotos taikymo taisyklės ir „Yokai“ diegimas rodo, kad „Mustang Panda“ pogrupis daugiausia dėmesio skiria Tailandui. Tai rodo patobulintą strategiją ir pritaikytas operacijas Pietryčių Azijoje.
Plati ir besivystanti kenkėjiškų programų ekosistema
„Hive0154“ išsiskiria gebėjimu palaikyti didelę, tarpusavyje susijusią kenkėjiškų programų ekosistemą. Jos veikla rodo:
- Dažnas kenkėjiško kodo ir atakų technikų sutapimas.
- Nuolatiniai eksperimentai su subklasteriais ir specializuotomis kenkėjiškomis programomis.
- Nuoseklus vystymosi ciklų tempas, pabrėžiantis prisitaikomumą.
Besivystantis „Mustang Panda“ arsenalas pabrėžia ilgalaikį grėsmės veikėjo įsipareigojimą tobulinti savo šnipinėjimo pajėgumus ir kartu stiprinti regioninį dėmesį.
