SnakeDisk USB蠕蟲
與中國結盟的威脅行為者「野馬熊貓」(Mustang Panda)在其網路間諜活動中推出了新的工具。研究人員最近記錄到,該組織使用了升級版的TONESHELL後門以及一種名為SnakeDisk的未知USB蠕蟲病毒。這兩項新增功能進一步鞏固了該組織作為最持久的國家支持對手之一的聲譽。
目錄
襲擊背後是誰?
網路安全專家正在監控集群 Hive0154 下的此類活動,該集群是與 Mustang Panda 相關的一個總稱。該集群還有多個別名,包括 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus 和 Twill Typhoon。
證據表明,野馬熊貓至少自 2012 年以來一直活躍,代表中國國家利益進行以間諜為重點的行動。
SnakeDisk:一種隱密的USB蠕蟲
SnakeDisk 是一種新發現的蠕蟲病毒,透過 DLL 側載傳播。它屬於 TONESHELL 惡意軟體家族,與另一個 USB 蠕蟲框架 TONEDISK(又稱 WispRider)有明顯的重疊。
其主要功能包括:
- 監控連接的 USB 裝置以尋找傳播機會。
- 將現有的 USB 檔案移到隱藏的子目錄中,然後用偽裝成裝置磁碟區名稱或簡單的 USB.exe 的惡意執行檔取代它們。
- 一旦惡意軟體在新系統上觸發,就恢復原始文件,以減少懷疑。
一個引人注目的特點是它的地理圍欄:SnakeDisk 僅在具有泰國 IP 位址的裝置上運行,從而縮小了其目標範圍。
《妖怪:SnakeDisk 提供的後門》
SnakeDisk 充當了 Yokai 的投遞機制,Yokai 是一個後門程序,用於設定反向 shell 來運行任意命令。 Yokai 於 2024 年 12 月首次被發現,並被認為與針對泰國官員的活動有關。
該惡意軟體與其他歸因於 Hive0154 的後門家族(包括 PUBLOAD/PUBSHELL 和 TONESHELL)在技術上有相似之處。雖然這些家族屬於不同的毒株,但它們使用類似的結構和技術與命令與控制 (C2) 伺服器進行通訊。
策略重點:泰國
SnakeDisk內建的目標定位規則以及妖怪的部署強烈暗示,Mustang Panda分支正專注於泰國。這顯示該組織在東南亞採取了更完善的策略和針對性的行動。
龐大且不斷發展的惡意軟體生態系統
Hive0154 因其維護龐大且互聯互通的惡意軟體生態系統的能力而脫穎而出。其運作方式顯示:
- 惡意程式碼和攻擊技術經常重疊。
- 正在對子集群和專門的惡意軟體進行實驗。
- 一致的開發週期節奏,突顯適應性。
Mustang Panda 不斷增強的武器庫凸顯了該威脅行為者長期致力於提升其間諜能力並加強其區域重點。
