SnakeDisk USB Worm
Aktori kërcënues i lidhur me Kinën, i njohur si Mustang Panda, ka nxjerrë në pah mjete të reja në fushatat e tij të spiunazhit kibernetik. Studiuesit kanë dokumentuar së fundmi përdorimin e një dere të pasme të përmirësuar TONESHELL së bashku me një krimb USB të panjohur më parë të quajtur SnakeDisk. Të dyja shtesat përforcojnë reputacionin e grupit si një nga kundërshtarët më të vazhdueshëm të sponsorizuar nga shteti.
Tabela e Përmbajtjes
Kush është pas sulmeve?
Ekspertët e sigurisë kibernetike po e monitorojnë këtë aktivitet nën klasterin Hive0154, një emër ombrellë i lidhur me Mustang Panda. Ky klaster njihet edhe me disa pseudonime, duke përfshirë BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus dhe Twill Typhoon.
Provat tregojnë se Mustang Panda ka qenë aktive që të paktën nga viti 2012, duke kryer operacione të fokusuara në spiunazh në emër të interesave shtetërore kineze.
SnakeDisk: Një krimb i fshehtë USB
SnakeDisk është një krimb i identifikuar rishtazi që përhapet përmes ngarkimit anësor të DLL. Ai i përket familjes së malware-ve TONESHELL dhe tregon mbivendosje të qarta me një tjetër framework krimbi USB, TONEDISK (i njohur edhe si WispRider).
Aftësitë e tij kryesore përfshijnë:
- Monitorimi i pajisjeve të lidhura USB për mundësi përhapjeje.
- Zhvendosja e skedarëve ekzistues USB në një nën-direktorium të fshehur, dhe më pas zëvendësimi i tyre me një skedar ekzekutues keqdashës të maskuar si emri i vëllimit të pajisjes ose thjesht USB.exe.
- Rivendosja e skedarëve origjinalë pasi programi keqdashës aktivizohet në një sistem të ri, duke zvogëluar dyshimet.
Një veçori mbresëlënëse është gjeofencimi i tij: SnakeDisk ekzekutohet vetëm në pajisje me adresa IP të bazuara në Tajlandë, duke ngushtuar fushëveprimin e tij të synimit.
Yokai: Dera e Prapame e Dorëzuar nga SnakeDisk
SnakeDisk vepron si një mekanizëm shpërndarjeje për Yokai, një derë e pasme që konfiguron një shell të kundërt për të ekzekutuar komanda arbitrare. I raportuar për herë të parë në dhjetor 2024, Yokai ishte i lidhur me fushata kundër zyrtarëve tajlandezë.
Malware-i ndan ngjashmëri teknike me familjet e tjera të backdoor-eve që i atribuohen Hive0154, duke përfshirë PUBLOAD/PUBSHELL dhe TONESHELL. Ndërsa janë lloje të ndara, këto familje përdorin struktura dhe teknika të krahasueshme për të komunikuar me serverat e komandës dhe kontrollit (C2).
Fokus strategjik në Tajlandë
Rregullat e synimit të integruara në SnakeDisk dhe vendosja e Yokai sugjerojnë fuqimisht se një nëngrup i Mustang Panda po përqendrohet shumë në Tajlandë. Kjo tregon një strategji të rafinuar dhe operacione të përshtatura në Azinë Juglindore.
Një ekosistem i gjerë dhe në zhvillim i programeve keqdashëse
Hive0154 dallohet për aftësinë e tij për të mirëmbajtur një ekosistem të madh dhe të ndërlidhur të programeve keqdashëse. Operacionet e tij demonstrojnë:
- Mbivendosje të shpeshta në kodin keqdashës dhe teknikat e sulmit.
- Eksperimentim i vazhdueshëm me nëngrupe dhe programe keqdashëse të specializuara.
- Një ritëm i qëndrueshëm i cikleve të zhvillimit, duke theksuar përshtatshmërinë.
Arsenali në zhvillim i Mustang Panda nënvizon angazhimin afatgjatë të aktorit kërcënues për të avancuar aftësitë e tij të spiunazhit, duke mprehur njëkohësisht fokusin e tij rajonal.
