USB črv SnakeDisk
Kitajsko povezani akter grozeče zlonamerne skupine, znan kot Mustang Panda, je v svojih kampanjah kibernetskega vohunjenja uvedel nova orodja. Raziskovalci so nedavno dokumentirali uporabo nadgrajenega zadnjega vdora TONESHELL skupaj s prej neznanim črvom USB, imenovanim SnakeDisk. Oba dodatka krepita sloves skupine kot enega najbolj vztrajnih državno sponzoriranih nasprotnikov.
Kazalo
Kdo stoji za napadi?
Strokovnjaki za kibernetsko varnost spremljajo to dejavnost v okviru skupine Hive0154, krovnega imena, povezanega z Mustang Pando. Ta skupina je znana tudi pod več vzdevki, vključno z BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus in Twill Typhoon.
Dokazi kažejo, da je Mustang Panda aktiven vsaj od leta 2012 in izvaja vohunske operacije v imenu kitajskih državnih interesov.
SnakeDisk: Prikrit USB črv
SnakeDisk je na novo odkrit črv, ki se širi s stranskim nalaganjem DLL. Spada v družino zlonamerne programske opreme TONESHELL in kaže očitna prekrivanja z drugim ogrodjem črvov USB, TONEDISK (znanim tudi kot WispRider).
Njegove glavne zmogljivosti vključujejo:
- Spremljanje priključenih naprav USB za možnosti širjenja.
- Premikanje obstoječih datotek USB v skriti podmapi in nato njihova zamenjava z zlonamerno izvedljivo datoteko, prikrito kot ime nosilca naprave ali preprosto USB.exe.
- Obnovitev izvirnih datotek po sprožitvi zlonamerne programske opreme v novem sistemu zmanjšuje sum.
Presenetljiva lastnost je geofencing: SnakeDisk deluje le na napravah z IP-naslovi s sedežem na Tajskem, kar zoži njegov obseg ciljanja.
Yokai: Zadnja vrata, ki jih je predstavil SnakeDisk
SnakeDisk deluje kot mehanizem za dostavo za Yokai, zadnja vrata, ki nastavijo obratno lupino za izvajanje poljubnih ukazov. Yokai, o katerem so prvič poročali decembra 2024, je bil povezan s kampanjami proti tajskim uradnikom.
Zlonamerna programska oprema ima tehnične podobnosti z drugimi družinami zadnjih vrat, ki se pripisujejo Hive0154, vključno s PUBLOAD/PUBSHELL in TONESHELL. Čeprav gre za ločene seve, te družine uporabljajo primerljive strukture in tehnike za komunikacijo s strežniki za upravljanje in nadzor (C2).
Strateški fokus na Tajsko
Pravila ciljanja, vgrajena v SnakeDisk, in uporaba Yokaija močno kažejo, da se podskupina Mustang Panda močno osredotoča na Tajsko. To kaže na izpopolnjeno strategijo in prilagojene operacije v jugovzhodni Aziji.
Obsežen in razvijajoč se ekosistem zlonamerne programske opreme
Hive0154 izstopa po svoji sposobnosti vzdrževanja velikega, medsebojno povezanega ekosistema zlonamerne programske opreme. Njegovo delovanje dokazuje:
- Pogosto prekrivanje zlonamerne kode in napadalnih tehnik.
- Nenehno eksperimentiranje s podklasterji in specializirano zlonamerno programsko opremo.
- Dosleden tempo razvojnih ciklov, ki poudarja prilagodljivost.
Razvijajoči se arzenal Mustanga Pande poudarja dolgoročno zavezanost akterja grožnje k izboljšanju svojih vohunskih zmogljivosti, hkrati pa k ostrejšemu regionalnemu fokusu.
