Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware SnakeDisk USB-worm

SnakeDisk USB-worm

Tegen Mezo in Malware, Wormen
Vertalen naar:

De Chinese cybercrimineel Mustang Panda heeft nieuwe tools geïntroduceerd in zijn cyberespionagecampagnes. Onderzoekers hebben onlangs het gebruik van een verbeterde TONESHELL-backdoor gedocumenteerd, samen met een voorheen onbekende USB-worm genaamd SnakeDisk. Beide toevoegingen versterken de reputatie van de groep als een van de meest hardnekkige, door de staat gesponsorde tegenstanders.

Wie zitten er achter de aanslagen?

Cybersecurity-experts monitoren deze activiteit onder de cluster Hive0154, een overkoepelende naam die gekoppeld is aan Mustang Panda. Deze cluster is ook bekend onder verschillende aliassen, waaronder BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus en Twill Typhoon.

Er zijn aanwijzingen dat Mustang Panda al sinds 2012 actief is en spionageactiviteiten uitvoert namens Chinese staatsbelangen.

SnakeDisk: een sluipende USB-worm

SnakeDisk is een recent ontdekte worm die zich verspreidt via DLL sideloading. Het behoort tot de TONESHELL-malwarefamilie en vertoont duidelijke overlappingen met een ander USB-wormframework, TONEDISK (ook bekend als WispRider).

De belangrijkste mogelijkheden zijn:

  • Bewaken van aangesloten USB-apparaten op verspreidingsmogelijkheden.
  • Bestaande USB-bestanden verplaatsen naar een verborgen submap en ze vervolgens vervangen door een schadelijk uitvoerbaar bestand dat vermomd is als de volumenaam van het apparaat of simpelweg USB.exe.
  • Het herstellen van de originele bestanden nadat de malware op een nieuw systeem is geactiveerd, vermindert argwaan.

Een opvallend kenmerk is de geofencing: SnakeDisk wordt alleen uitgevoerd op apparaten met IP-adressen uit Thailand, waardoor het bereik van de targeting beperkt blijft.

Yokai: De Achterdeur Geleverd door SnakeDisk

SnakeDisk fungeert als een aflevermechanisme voor Yokai, een backdoor die een reverse shell opzet om willekeurige commando's uit te voeren. Yokai werd voor het eerst gemeld in december 2024 en werd in verband gebracht met campagnes tegen Thaise functionarissen.

De malware vertoont technische overeenkomsten met andere backdoor-families die aan Hive0154 worden toegeschreven, waaronder PUBLOAD/PUBSHELL en TONESHELL. Hoewel het afzonderlijke stammen zijn, gebruiken deze families vergelijkbare structuren en technieken om te communiceren met command-and-control (C2)-servers.

Strategische focus op Thailand

De targetingregels in SnakeDisk en de inzet van Yokai suggereren sterk dat een Mustang Panda-subgroep zich sterk op Thailand concentreert. Dit wijst op een verfijnde strategie en op maat gemaakte operaties in Zuidoost-Azië.

Een enorm en evoluerend malware-ecosysteem

Hive0154 onderscheidt zich door zijn vermogen om een groot, onderling verbonden malware-ecosysteem te onderhouden. De werking ervan toont het volgende:

  • Regelmatige overlappingen tussen schadelijke code en aanvalstechnieken.
  • Er wordt voortdurend geëxperimenteerd met subclusters en gespecialiseerde malware.
  • Een consistent tempo van ontwikkelingscycli, waarbij de nadruk ligt op aanpassingsvermogen.

Het steeds verder ontwikkelende arsenaal van Mustang Panda onderstreept de langetermijninzet van de cybercrimineel om zijn spionagecapaciteiten verder te ontwikkelen en tegelijkertijd zijn regionale focus te verscherpen.

Trending

Meest bekeken

Bezig met laden...