Связанная с Китаем хакерская группировка Mustang Panda развертывает новый, ранее не задокументированный USB-червь под названием SnakeDisk. Кампания нацелена исключительно на системы с IP-адресами, геолоцированными в Таиланде, и используется для доставки бэкдора Yokai.
Группировка Mustang Panda, также известная под псевдонимами Hive0154 (классификация IBM X-Force), BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus и Twill Typhoon, активна как минимум с 2012 года. Она характеризуется как высококвалифицированный государственный актор с несколькими активными подкластерами, частыми циклами разработки инструментов и обширной экосистемой вредоносного ПО со значительным пересечением кода.
Новый червь SnakeDisk распространяется через USB-накопители и запускается с использованием техники DLL side-loading. Его ключевой особенностью является геофенсинг: вредоносный код выполняется только на устройствах, чей публичный IP-адрес принадлежит Таиланду. При подключении USB-устройства червь перемещает все существующие на нем файлы в новый скрытый подкаталог.
После сокрытия оригинальных данных SnakeDisk создает на USB-накопителе вредоносный исполняемый файл. Имя файла либо совпадает с названием тома USB-устройства, либо устанавливается как "USB.exe", чтобы обмануть следующего пользователя. Когда жертва запускает этот файл на новой машине, червь сначала копирует оригинальные файлы обратно в их исходное местоположение, чтобы не вызывать подозрений, после чего активирует свою основную вредоносную нагрузку. Аналитики отмечают сходство SnakeDisk с другим USB-червем из семейства TONESHELL, известным как TONEDISK или WispRider.
Основной задачей SnakeDisk является доставка бэкдора Yokai. Этот вредоносный инструмент устанавливает обратную оболочку (reverse shell) на зараженной машине, что позволяет злоумышленникам выполнять произвольные команды. Yokai ранее был задокументирован фирмой Netskope в декабре 2023 года и уже использовался в атаках на тайских чиновников. Код Yokai имеет пересечения с другими семействами бэкдоров, приписываемых Mustang Panda, включая PUBLOAD/PUBSHELL и TONESHELL.
Одновременно с развертыванием SnakeDisk, группировка продолжает обновлять и другие инструменты. Бэкдор TONESHELL, впервые публично описанный Trend Micro в ноябре 2022 года после атак на Мьянму, Австралию, Филиппины, Японию и Тайвань в мае-октябре 2022 года, получил новые версии. Исследователи IBM X-Force выявили варианты TONESHELL8 и TONESHELL9.
Обновленные версии TONESHELL обладают расширенными возможностями. Они поддерживают связь с командно-контрольными серверами (C2) через локально настроенные прокси-серверы, что позволяет маскировать вредоносный трафик под обычную сетевую активность. Кроме того, новые варианты могут одновременно поддерживать две активные обратные оболочки.
Для уклонения от обнаружения статического анализа в функциях TONESHELL используется новая техника. Злоумышленники встраивают в код «мусорные» фрагменты, скопированные непосредственно с веб-сайта ChatGPT компании OpenAI. Этот метод усложняет анализ и помогает вредоносному ПО обходить защитные решения.
Типичная цепочка атак Mustang Panda часто начинается с фишинговых писем, которые доставляют начальные загрузчики, такие как PUBLOAD или TONESHELL. В дальнейшем для выполнения вредоносного кода, включая SnakeDisk, активно применяется метод DLL side-loading.
Анализ новой кампании был опубликован в отчете IBM X-Force, подготовленном исследователями Голо Мюром и Джошуа Чангом. Согласно их выводам, использование SnakeDisk и Yokai с жесткой географической привязкой указывает на существование внутри Mustang Panda подгруппы, специализирующейся на операциях против Таиланда. Эта активность подтверждает, что группировка постоянно развивает, совершенствует и расширяет свой вредоносный арсенал.
Изображение носит иллюстративный характер
Группировка Mustang Panda, также известная под псевдонимами Hive0154 (классификация IBM X-Force), BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus и Twill Typhoon, активна как минимум с 2012 года. Она характеризуется как высококвалифицированный государственный актор с несколькими активными подкластерами, частыми циклами разработки инструментов и обширной экосистемой вредоносного ПО со значительным пересечением кода.
Новый червь SnakeDisk распространяется через USB-накопители и запускается с использованием техники DLL side-loading. Его ключевой особенностью является геофенсинг: вредоносный код выполняется только на устройствах, чей публичный IP-адрес принадлежит Таиланду. При подключении USB-устройства червь перемещает все существующие на нем файлы в новый скрытый подкаталог.
После сокрытия оригинальных данных SnakeDisk создает на USB-накопителе вредоносный исполняемый файл. Имя файла либо совпадает с названием тома USB-устройства, либо устанавливается как "USB.exe", чтобы обмануть следующего пользователя. Когда жертва запускает этот файл на новой машине, червь сначала копирует оригинальные файлы обратно в их исходное местоположение, чтобы не вызывать подозрений, после чего активирует свою основную вредоносную нагрузку. Аналитики отмечают сходство SnakeDisk с другим USB-червем из семейства TONESHELL, известным как TONEDISK или WispRider.
Основной задачей SnakeDisk является доставка бэкдора Yokai. Этот вредоносный инструмент устанавливает обратную оболочку (reverse shell) на зараженной машине, что позволяет злоумышленникам выполнять произвольные команды. Yokai ранее был задокументирован фирмой Netskope в декабре 2023 года и уже использовался в атаках на тайских чиновников. Код Yokai имеет пересечения с другими семействами бэкдоров, приписываемых Mustang Panda, включая PUBLOAD/PUBSHELL и TONESHELL.
Одновременно с развертыванием SnakeDisk, группировка продолжает обновлять и другие инструменты. Бэкдор TONESHELL, впервые публично описанный Trend Micro в ноябре 2022 года после атак на Мьянму, Австралию, Филиппины, Японию и Тайвань в мае-октябре 2022 года, получил новые версии. Исследователи IBM X-Force выявили варианты TONESHELL8 и TONESHELL9.
Обновленные версии TONESHELL обладают расширенными возможностями. Они поддерживают связь с командно-контрольными серверами (C2) через локально настроенные прокси-серверы, что позволяет маскировать вредоносный трафик под обычную сетевую активность. Кроме того, новые варианты могут одновременно поддерживать две активные обратные оболочки.
Для уклонения от обнаружения статического анализа в функциях TONESHELL используется новая техника. Злоумышленники встраивают в код «мусорные» фрагменты, скопированные непосредственно с веб-сайта ChatGPT компании OpenAI. Этот метод усложняет анализ и помогает вредоносному ПО обходить защитные решения.
Типичная цепочка атак Mustang Panda часто начинается с фишинговых писем, которые доставляют начальные загрузчики, такие как PUBLOAD или TONESHELL. В дальнейшем для выполнения вредоносного кода, включая SnakeDisk, активно применяется метод DLL side-loading.
Анализ новой кампании был опубликован в отчете IBM X-Force, подготовленном исследователями Голо Мюром и Джошуа Чангом. Согласно их выводам, использование SnakeDisk и Yokai с жесткой географической привязкой указывает на существование внутри Mustang Panda подгруппы, специализирующейся на операциях против Таиланда. Эта активность подтверждает, что группировка постоянно развивает, совершенствует и расширяет свой вредоносный арсенал.
