USB-черв'як SnakeDisk
Пов'язана з Китаєм кібершпигунська кібератака під назвою Mustang Panda розгорнула нові інструменти у своїх кампаніях кібершпигунства. Дослідники нещодавно задокументували використання оновленого бекдора TONESHELL разом із раніше невідомим USB-черв'яком під назвою SnakeDisk. Обидва доповнення зміцнюють репутацію угруповання як одного з найстійкіших супротивників, що спонсоруються державою.
Зміст
Хто стоїть за атаками?
Експерти з кібербезпеки відстежують цю активність у кластері Hive0154, загальному імені, пов'язаному з Mustang Panda. Цей кластер також відомий під кількома псевдонімами, зокрема BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus та Twill Typhoon.
Докази свідчать про те, що Mustang Panda веде активну діяльність щонайменше з 2012 року, здійснюючи шпигунські операції в інтересах китайської держави.
SnakeDisk: Хитрий USB-черв’як
SnakeDisk — це нещодавно виявлений черв'як, який поширюється шляхом завантаження DLL-бібліотек. Він належить до сімейства шкідливих програм TONESHELL та має чіткі перекриття з іншим фреймворком USB-черв'яків, TONEDISK (також відомим як WispRider).
Його основні можливості включають:
- Моніторинг підключених USB-пристроїв на наявність можливостей поширення.
- Переміщення існуючих USB-файлів у прихований підкаталог, а потім їх заміна шкідливим виконуваним файлом, замаскованим під назву тома пристрою або просто USB.exe.
- Відновлення оригінальних файлів після запуску шкідливого програмного забезпечення на новій системі, що зменшує підозри.
Вражаючою особливістю є геозонування: SnakeDisk працює лише на пристроях з IP-адресами, що базуються в Таїланді, що звужує область його таргетування.
Yokai: Бекдор від SnakeDisk
SnakeDisk діє як механізм доставки для Yokai, бекдору, який налаштовує зворотну оболонку для виконання довільних команд. Вперше повідомлялося, що Yokai пов'язували з кампаніями проти тайських чиновників у грудні 2024 року.
Це шкідливе програмне забезпечення має технічні подібності з іншими сімействами бекдорів, що приписуються Hive0154, включаючи PUBLOAD/PUBSHELL та TONESHELL. Хоча це окремі штами, ці сімейства використовують подібні структури та методи для зв'язку з серверами командування та управління (C2).
Стратегічний фокус на Таїланді
Правила цільового впливу, вбудовані в SnakeDisk, та розгортання Yokai переконливо свідчать про те, що підгрупа Mustang Panda зосереджується переважно на Таїланді. Це вказує на вдосконалену стратегію та цілеспрямовані операції в Південно-Східній Азії.
Величезна та мінлива екосистема шкідливого програмного забезпечення
Hive0154 вирізняється своєю здатністю підтримувати велику, взаємопов'язану екосистему шкідливого програмного забезпечення. Його операції демонструють:
- Часті збіги шкідливого коду та методів атаки.
- Постійні експерименти з підкластерами та спеціалізованим шкідливим програмним забезпеченням.
- Постійний темп циклів розвитку, що підкреслює адаптивність.
Розвиток арсеналу Mustang Panda підкреслює довгострокове прагнення зловмисника розвивати свої шпигунські можливості, одночасно загострюючи свою регіональну спрямованість.
