USB-червь SnakeDisk
Связанная с Китаем группировка Mustang Panda внедрила новые инструменты в свои кампании кибершпионажа. Исследователи недавно задокументировали использование обновлённого бэкдора TONESHELL вместе с ранее неизвестным USB-червем SnakeDisk. Оба этих нововведения укрепляют репутацию группировки как одного из самых стойких противников, спонсируемых государством.
Оглавление
Кто стоит за атаками?
Эксперты по кибербезопасности отслеживают эту активность в рамках кластера Hive0154, зонтичного названия, связанного с Mustang Panda. Этот кластер также известен под несколькими псевдонимами, включая BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus и Twill Typhoon.
Имеющиеся данные свидетельствуют о том, что Mustang Panda действует как минимум с 2012 года, осуществляя шпионские операции в интересах китайского государства.
SnakeDisk: скрытый USB-червь
SnakeDisk — недавно обнаруженный червь, распространяющийся через загрузку DLL-библиотек. Он относится к семейству вредоносных программ TONESHELL и имеет явные совпадения с другим фреймворком USB-червей, TONEDISK (он же WispRider).
Его основные возможности включают в себя:
- Мониторинг подключенных USB-устройств на предмет возможностей распространения.
- Перемещение существующих файлов USB в скрытый подкаталог с последующей заменой их вредоносным исполняемым файлом, замаскированным под имя тома устройства или просто под USB.exe.
- Восстановление исходных файлов после срабатывания вредоносного ПО на новой системе позволяет снизить подозрения.
Яркой особенностью является геозонирование: SnakeDisk работает только на устройствах с IP-адресами, расположенными в Таиланде, что сужает область его обнаружения.
Yokai: бэкдор, предоставленный SnakeDisk
SnakeDisk служит механизмом доставки Yokai — бэкдора, который устанавливает обратную оболочку для выполнения произвольных команд. Впервые обнаруженный в декабре 2024 года, Yokai был связан с кампаниями против тайских чиновников.
Вредоносное ПО имеет техническое сходство с другими семействами бэкдоров, приписываемыми Hive0154, включая PUBLOAD/PUBSHELL и TONESHELL. Несмотря на то, что эти семейства являются отдельными штаммами, они используют схожие структуры и методы для взаимодействия с командными серверами (C2).
Стратегический фокус на Таиланд
Правила таргетинга, встроенные в SnakeDisk, и использование Yokai убедительно свидетельствуют о том, что подгруппа Mustang Panda сосредоточила свои усилия на Таиланде. Это указывает на продуманную стратегию и целенаправленные операции в Юго-Восточной Азии.
Обширная и развивающаяся экосистема вредоносных программ
Hive0154 выделяется своей способностью поддерживать крупную, взаимосвязанную экосистему вредоносного ПО. Его деятельность демонстрирует:
- Частое совпадение вредоносного кода и методов атаки.
- Продолжаются эксперименты с подкластерами и специализированным вредоносным ПО.
- Постоянный темп циклов разработки, подчеркивающий адаптивность.
Развивающийся арсенал Mustang Panda подчеркивает долгосрочную приверженность этой организации совершенствованию своих шпионских возможностей, одновременно заостряя внимание на региональном направлении.
