Sâu USB SnakeDisk
Nhóm tin tặc Mustang Panda, được cho là có liên hệ với Trung Quốc, đã triển khai các công cụ mới trong các chiến dịch gián điệp mạng. Các nhà nghiên cứu gần đây đã ghi nhận việc sử dụng một backdoor TONESHELL nâng cấp cùng với một loại sâu USB chưa từng được biết đến trước đây có tên là SnakeDisk. Cả hai bổ sung này càng củng cố danh tiếng của nhóm tin tặc này như một trong những kẻ thù dai dẳng nhất được nhà nước bảo trợ.
Mục lục
Ai đứng sau các cuộc tấn công?
Các chuyên gia an ninh mạng đang theo dõi hoạt động này dưới cụm Hive0154, một tên gọi chung gắn liền với Mustang Panda. Cụm này còn được biết đến với nhiều biệt danh khác, bao gồm BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus và Twill Typhoon.
Có bằng chứng cho thấy Mustang Panda đã hoạt động ít nhất từ năm 2012, thực hiện các hoạt động gián điệp phục vụ lợi ích nhà nước Trung Quốc.
SnakeDisk: Một con sâu USB bí ẩn
SnakeDisk là một loại sâu mới được phát hiện, lây lan thông qua việc tải DLL từ bên ngoài. Nó thuộc họ phần mềm độc hại TONESHELL và có sự trùng lặp rõ ràng với một nền tảng sâu USB khác là TONEDISK (hay còn gọi là WispRider).
Các khả năng chính của nó bao gồm:
- Giám sát các thiết bị USB được kết nối để tìm cơ hội lan truyền.
- Di chuyển các tệp USB hiện có vào một thư mục con ẩn, sau đó thay thế chúng bằng tệp thực thi độc hại được ngụy trang dưới dạng tên ổ đĩa của thiết bị hoặc đơn giản là USB.exe.
- Khôi phục các tệp gốc sau khi phần mềm độc hại được kích hoạt trên hệ thống mới, giúp giảm nghi ngờ.
Một tính năng nổi bật là tính năng định vị địa lý: SnakeDisk chỉ thực thi trên các thiết bị có địa chỉ IP ở Thái Lan, thu hẹp phạm vi nhắm mục tiêu.
Yokai: The Backdoor được cung cấp bởi SnakeDisk
SnakeDisk hoạt động như một cơ chế phân phối Yokai, một backdoor thiết lập một shell ngược để chạy các lệnh tùy ý. Được báo cáo lần đầu vào tháng 12 năm 2024, Yokai có liên quan đến các chiến dịch chống lại các quan chức Thái Lan.
Phần mềm độc hại này có những điểm tương đồng về mặt kỹ thuật với các họ backdoor khác được cho là thuộc Hive0154, bao gồm PUBLOAD/PUBSHELL và TONESHELL. Mặc dù là các biến thể riêng biệt, các họ này sử dụng các cấu trúc và kỹ thuật tương tự để giao tiếp với các máy chủ chỉ huy và kiểm soát (C2).
Tập trung chiến lược vào Thái Lan
Các quy tắc nhắm mục tiêu được tích hợp trong SnakeDisk và việc triển khai Yokai cho thấy rõ ràng một nhóm nhỏ Mustang Panda đang tập trung mạnh mẽ vào Thái Lan. Điều này cho thấy một chiến lược tinh vi và các hoạt động được thiết kế riêng ở Đông Nam Á.
Hệ sinh thái phần mềm độc hại rộng lớn và đang phát triển
Hive0154 nổi bật với khả năng duy trì một hệ sinh thái phần mềm độc hại lớn và liên kết chặt chẽ. Hoạt động của nó chứng minh:
- Sự chồng chéo thường xuyên giữa mã độc và kỹ thuật tấn công.
- Đang tiến hành thử nghiệm với các cụm phụ và phần mềm độc hại chuyên dụng.
- Tốc độ phát triển ổn định, làm nổi bật khả năng thích ứng.
Kho vũ khí ngày càng phát triển của Mustang Panda nhấn mạnh cam kết lâu dài của tác nhân đe dọa này trong việc nâng cao năng lực gián điệp đồng thời tăng cường sự tập trung vào khu vực.
