Siber güvenlik manzarası, Temmuz 2025’te, Çin’e uyumlu tehdit aktör HIVE0154’ün, hava kaplı sistemleri ihlal etmek için tasarlanmış sofistike yeni kötü amaçlı yazılım varyantlarını konuşlandırdığı önemli bir yükselişe tanık oldu.
Bu gelişmiş kalıcı tehdit grubu, Doğu Asya ağlarını hedefleyen siber casusluk yeteneklerinde hesaplanmış bir evrimi temsil eden güncellenmiş bir Toneshell9 arka kapısının yanı sıra yeni bir USB solucanı olan Snakedisk’i tanıttı.
Kampanya, Mustang Panda’nın fiziksel yayılma yöntemleri aracılığıyla geleneksel ağ güvenlik önlemlerini atlatmaya yönelik stratejik odağını gösteriyor.
SNAKEDISK, sadece Tayland tabanlı IP adreslerine sahip sistemlerde yürütülen coğrafi hassasiyetle çalışır ve Tayland ve Kamboçya arasındaki son jeopolitik gerilimlerle çakışan yüksek hedefli operasyonlar olduğunu düşündürmektedir.
Kötü amaçlı yazılımın seçici aktivasyon mekanizması, grubun sofistike operasyonel güvenliğini ve belirli hedeflere karşı etkiyi en üst düzeye çıkarırken maruziyeti en aza indirme arzusunu yansıtır.
IBM analistleri, bu kötü amaçlı yazılım varyantlarını, 2025’in ortalarında Singapur ve Tayland’dan yüklenen silahlı arşivlerin kapsamlı bir analizi ile tanımladı.
Araştırmacılar, Snakedisk’in önceki tonedisk varyantlarıyla önemli kod örtüştüğünü keşfederken, gelişmiş kaçırma teknikleri ve hava boşluğu penetrasyon yetenekleri sunuyor.
USB solucanının Yokai arka kapısının yanında konuşlandırılması, izole ağ ortamlarında kalıcı erişim sağlamak için tasarlanmış çok aşamalı bir enfeksiyon stratejisini gösterir.
Tehdit oyuncunun operasyonel metodolojisi, silahlı arşivlerin genellikle devlet kurumlarından meşru belgeler olarak gizlenmiş olan Box gibi bulut depolama platformları aracılığıyla dağıtılmasını içerir.
Bu arşivler, enfeksiyon zincirini başlatan kötü niyetli DLL’leri açan truva yazılımı içerir. Kötü amaçlı yazılım kurulduktan sonra, planlanan görevler ve kayıt defteri değişiklikleri yoluyla kalıcılık oluşturur ve sistem yeniden başlatıldıktan sonra bile erişimi sağlar.
.webp)
Toneshell7 (Kaynak – IBM) Silahlı Arşiv için İndirme Bağlantısı İçeren PDF
Bu araçların ortaya çıkışı, Tayland ve Kamboçya arasındaki artan sınır çatışmalarına denk geliyor ve kampanyanın arkasındaki devlet destekli motivasyonları öneriyor.
Mustang Panda’nın coğrafi olarak hedefli kötü amaçlı yazılım geliştirme yeteneği, gelişmiş teknik yeteneklerini ve stratejik zeka toplama operasyonlarını göstermektedir.
Gelişmiş USB yayılma ve hava boşluğu penetrasyon mekanizmaları
SNAKEDISK, USB cihazlarını silahlandırmak ve hava kapalı sistemlere nüfuz etmek için sofistike teknikler kullanır.
Kötü amaçlı yazılım, 320 bayt anahtarla özel bir iki fazlı XOR şifre çözme algoritması kullanarak bir yapılandırma dosyasını ayrıştırarak yürütmeye başlar.
Bu yapılandırma, dizin yapıları, dosya adları ve kalıcılık mekanizmaları dahil olmak üzere solucanın çalışma parametrelerini tanımlayan 18 dize değeri içerir.
USB enfeksiyon işlemi, çıkarılabilir depolama aygıtlarını tanımlamak için Windows API IOCTL_STORAGE_GET_HOTPLUG_INFO kullanılarak kapsamlı cihaz algılama ile başlar.
Bir USB sürücüsünü tespit ettikten sonra Snakedisk, kök dizinine silahlandırılmış bir yürütülebilir ürün yerleştirirken kullanıcının orijinal dosyalarını alt dizinler içindeki orijinal dosyalarını gizleyen sofistike bir dosya yapısı oluşturur.
Kötü amaçlı yazılım, aşağıdaki işlemde gösterildiği gibi mevcut dosyaları yeniden yerleştirmek için hem shfileOperationw hem de robocopy komutlarını kullanır:
robocopy :\ :\\\ /XD ":\\" /XF ":\" /E /MOVE Bu işlem, normal bir USB cihazının görünümünü korurken kötü amaçlı altyapıyı etkili bir şekilde gizleyerek sistem ve gizli özniteliklere sahip birden fazla gizli dizin oluşturur.
Solucan, WM_DeviCeChange olaylarını izlemek için bir Windows mesaj döngüsü oluşturur ve USB ekleme ve kaldırma olaylarının gerçek zamanlı tespitini sağlar.
Bir cihaz kaldırıldığında, SNAKEDISK yük yürütmeyi tetikler ve Yokai Geri Dolunu C: \ Users \ Public \ dizinine bırakarak, dağıtım üzerine son kötü niyetli yürütülebilir dosyayı yeniden yapılandıran bir dizi birleştirilmiş şifreli dosyalar aracılığıyla.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.