SnakeDisk USB црв
Кинески актер претње познат као Мустанг Панда увео је нове алате у своје кампање сајбер шпијунаже. Истраживачи су недавно документовали употребу надограђеног TONESHELL бекдора заједно са раније непознатим УСБ црвом названим SnakeDisk. Оба додатка јачају репутацију групе као једног од најупорнијих државно спонзорисаних противника.
Преглед садржаја
Ко стоји иза напада?
Стручњаци за сајбер безбедност прате ову активност под кластером Hive0154, заједничким називом повезаним са Mustang Panda. Овај кластер је такође познат под неколико псеудонима, укључујући BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus и Twill Typhoon.
Докази указују да је Мустанг Панда активан најмање од 2012. године, спроводећи операције усмерене на шпијунажу у име кинеских државних интереса.
SnakeDisk: Прикривени USB црв
SnakeDisk је новоидентификовани црв који се шири бочним учитавањем DLL датотека. Припада породици малвера TONESHELL и показује јасна преклапања са другим системом за развој USB црва, TONEDISK (познатим и као WispRider).
Његове главне могућности укључују:
- Праћење повезаних УСБ уређаја ради могућности ширења.
- Премештање постојећих УСБ датотека у скривени поддиректоријум, а затим њихова замена злонамерним извршним фајлом прикривеним као назив волумена уређаја или једноставно USB.exe.
- Враћање оригиналних датотека након што се злонамерни софтвер активира на новом систему, смањујући сумњу.
Упечатљива карактеристика је његово геофенсовање: SnakeDisk ради само на уређајима са ИП адресама са седиштем у Тајланду, сужавајући његов опсег циљања.
Јокаи: Задња врата коју испоручује СнејкДиск
СнејкДиск делује као механизам за испоруку за Јокаи, задња врата која подешавају обрнуту шкољку за покретање произвољних команди. Јокаи је први пут пријављен у децембру 2024. године и повезан је са кампањама против тајландских званичника.
Злонамерни софтвер дели техничке сличности са другим породицама бекдора које се приписују Hive0154, укључујући PUBLOAD/PUBSHELL и TONESHELL. Иако су одвојени сојеви, ове породице користе сличне структуре и технике за комуникацију са серверима за командовање и контролу (C2).
Стратешки фокус на Тајланд
Правила циљања уграђена у SnakeDisk и распоређивање Yokai-ја снажно указују на то да се подгрупа Mustang Panda у великој мери концентрише на Тајланд. Ово указује на префињену стратегију и прилагођене операције у Југоисточној Азији.
Огроман и еволуирајући екосистем злонамерног софтвера
Hive0154 се истиче по својој способности одржавања великог, међусобно повезаног екосистема злонамерног софтвера. Његово пословање показује:
- Честа преклапања злонамерног кода и техника напада.
- Континуирано експериментисање са подкластерима и специјализованим злонамерним софтвером.
- Доследан темпо развојних циклуса, који истиче прилагодљивост.
Мустанг Пандин арсенал који се развија наглашава дугорочну посвећеност претње унапређењу својих шпијунских способности, уз истовремено изоштравање регионалног фокуса.
