Rabattoffert för flera licenser
Hotdatabas Skadlig programvara SnakeDisk USB-mask

SnakeDisk USB-mask

Med Mezo år Skadlig programvara, Maskar
Översätt till:

Den Kina-allierade hotbilden Mustang Panda har lanserat nya verktyg i sina cyberspionagekampanjer. Forskare har nyligen dokumenterat användningen av en uppgraderad TONESHELL-bakdörr tillsammans med en tidigare okänd USB-mask kallad SnakeDisk. Båda tilläggen förstärker gruppens rykte som en av de mest ihärdiga statsstödda motståndarna.

Vilka ligger bakom attackerna?

Cybersäkerhetsexperter övervakar denna aktivitet under klustret Hive0154, ett paraplynamn kopplat till Mustang Panda. Klustret är också känt under flera alias, inklusive BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus och Twill Typhoon.

Bevis tyder på att Mustang Panda har varit aktivt sedan åtminstone 2012 och utfört spionageinriktade operationer för kinesiska statliga intressen.

SnakeDisk: En smygande USB-mask

SnakeDisk är en nyligen identifierad mask som sprids genom sidladdning av DLL. Den tillhör TONESHELL-familjen av skadliga program och uppvisar tydliga överlappningar med ett annat USB-maskramverk, TONEDISK (även känt som WispRider).

Dess huvudsakliga funktioner inkluderar:

  • Övervakning av anslutna USB-enheter för spridningsmöjligheter.
  • Flytta befintliga USB-filer till en dold underkatalog och ersätta dem sedan med en skadlig körbar fil förklädd till enhetens volymnamn eller helt enkelt USB.exe.
  • Att återställa originalfilerna när skadlig kod har utlösts på ett nytt system, minskar misstankar.

En slående funktion är dess geofencing: SnakeDisk körs bara på enheter med Thailand-baserade IP-adresser, vilket begränsar dess inriktningsområde.

Yokai: Bakdörren levererad av SnakeDisk

SnakeDisk fungerar som en leveransmekanism för Yokai, en bakdörr som skapar ett omvänt skal för att köra godtyckliga kommandon. Yokai, som först rapporterades i december 2024, kopplades till kampanjer mot thailändska tjänstemän.

Skadlig programvara delar tekniska likheter med andra bakdörrsfamiljer som tillskrivs Hive0154, inklusive PUBLOAD/PUBSHELL och TONESHELL. Även om dessa familjer är separata stammar använder de jämförbara strukturer och tekniker för att kommunicera med kommando- och kontrollservrar (C2).

Strategiskt fokus på Thailand

De inbyggda målinriktningsreglerna i SnakeDisk och utplaceringen av Yokai tyder starkt på att en Mustang Panda-undergrupp koncentrerar sig starkt på Thailand. Detta tyder på en förfinad strategi och skräddarsydda operationer i Sydostasien.

Ett omfattande och föränderligt ekosystem med skadlig kod

Hive0154 utmärker sig för sin förmåga att upprätthålla ett stort, sammankopplat ekosystem för skadlig kod. Dess verksamhet visar:

  • Ofta förekommer överlappningar i skadlig kod och attacktekniker.
  • Pågående experiment med delkluster och specialiserad skadlig kod.
  • En jämn takt i utvecklingscyklerna, vilket framhäver anpassningsförmåga.

Mustang Pandas ständigt föränderliga arsenal understryker hotaktörens långsiktiga engagemang för att utveckla sina spionagemöjligheter samtidigt som det skärper sitt regionala fokus.

Trendigt

Mest sedda

Läser in...