IBM X-Force araştırmacıları, Mustang Panda olarak da bilinen Çin uyumlu tehdit aktör Hive0154 tarafından düzenlenen sofistike yeni kötü amaçlı yazılım kampanyalarını ortaya çıkardılar.
Keşif, algılama sistemlerinden kaçınan gelişmiş bir Toneshell arka kapı varyantı ve özellikle Tayland tabanlı cihazları hedefleyen Snakedisk adı verilen yeni bir USB solucanı içeriyor.
.webp)
Gelişmiş Toneshell Backdoor kaçınma tespiti
Toneshell9 olarak adlandırılan Toneshell’in en son yinelemesi, tehdit oyuncunun yeteneklerinde önemli bir ilerlemeyi temsil ediyor.
Bu güncellenmiş varyant, kötü amaçlı yazılımın yerel olarak yapılandırılmış proxy sunucularını kullanarak meşru kurumsal ağ trafiğiyle sorunsuz bir şekilde karışmasını sağlayan proxy iletişim özellikleri sunar.
Temel Teknik Özellikler:
- Çift ters kabuk işlevselliği Eşzamanlı komut yürütme akışlarını etkinleştirme.
- Proxy’ye duyarlı iletişim Kurumsal çıkış filtrelemesini atlamak için.
- Geliştirilmiş Kırılma Teknikleri Chatgpt kaynaklı dizelerle önemsiz kod enjeksiyonu dahil.
- Özel şifreleme yöntemleri Modifiye sahte rastgele numara jeneratörleri kullanma.
Toneshell9, DLL kenar yükleme teknikleri aracılığıyla kalıcılık oluşturur ve trafiği TLS 1.2 uygulama veri paketleri olarak gizleyerek komut ve kontrol iletişimini sürdürür.
Kötü amaçlı yazılım, birden çok C2 sunucusu, proxy yapılandırmaları ve şifreleme anahtarlarını aynı anda yönetebilen gelişmiş bir istemci nesnesi oluşturur.
Proxy ayarları için Windows kayıt defteri kovanlarını numaralandırma yeteneği, grubun kurumsal ağ mimarileri hakkındaki derin anlayışını gösterir.
SNAKEDISK WORM TAYLAND’a vuruyor
Yeni tanımlanan Snakedisk USB solucanı, HIVE0154’ün siber casusluk operasyonlarına hedeflenen yaklaşımını sergiliyor.
Bu kötü amaçlı yazılım, uygulamadan önce Tayland tabanlı IP adreslerini özellikle kontrol ederek, artan bölgesel gerilimler sırasında Tayland hükümetine ve organizasyonel ağlara stratejik bir odaklanma önermektedir.
Operasyonel Özellikler:
- Coğrafi konum tabanlı yürütme Tayland IP adresleriyle sınırlı.
- USB yayılma mekanizması Çıkarılabilir depolama aygıtlarının enfekte edilmesi.
- Yokai Backdoor Dağıtım Kalıcı uzaktan erişim oluşturmak.
- Dosya gizleme özellikleri Tespiti önlemek için meşru USB içeriklerini maskeleme.
SNAKEDISK’in konuşlandırılmasının zamanlaması, 2025 yılı boyunca artan Tayland-Kambodi sınır anlaşmazlıkları ve diplomatik gerilimlerle çakışıyor.
Solucanın sofistike USB enfeksiyon mekanizması, hassas hükümet ortamlarında yaygın olarak kullanılan hava kaplı sistemlere nüfuz etme girişimlerini önermektedir.
Tetiklendiğinde, SNAKEDISK daha önce Aralık 2024’te Taylandlı yetkililere yönelik kampanyalara bağlı Yokai arka kapısını düşürüyor.
Çin siber operasyonlarının genişletilmesi
Güvenlik araştırmacıları, bu etkinliği, devlet kurumlarını, düşünce kuruluşlarını ve Doğu Asya’daki özel kuruluşları hedefleyen birden fazla alt kümeyi işleten iyi kurulmuş bir Çin uyumlu tehdit grubu olan HIVE0154’e bağlar.
Grubun Arsenal’i, ileri geliştirme yeteneklerini gösteren çok sayıda özel kötü amaçlı yazılım yükleyicisi, backroors ve USB solucan ailesi içerir.
2025’in ortalarında Singapur ve Tayland’dan yüklenen silahlı arşivlerin keşfi, Güneydoğu Asya kuruluşlarının sürekli hedeflenmesini göstermektedir.
Bu kampanyalar, Box ve Google Drive gibi bulut depolama platformları aracılığıyla dağıtılan sahte Myanmar Dışişleri Bakanlığı belgeleri de dahil olmak üzere hükümet iletişimini taklit eden sosyal mühendislik lurs kullanmıştır.
IBM X-Force, Çin’in bölgedeki stratejik çıkarlarının, özellikle Kamboçya ile ilgili olarak kilit bir müttefik olarak, Tayland’a karşı yoğun operasyonlar için motivasyon sağlamış olabileceğini değerlendiriyor.
Coğrafi olarak kısıtlanmış kötü amaçlı yazılımların konuşlandırılması, bölgesel istikrarsızlık döneminde istihbarat toplama için hesaplanmış bir yaklaşım önermektedir.
Hedeflenen bölgelerdeki kuruluşlar, şüpheli USB cihazlarının izlenmesi, uygun el sıkışmaları olmadan TLS trafiğini algılama ve resmi iletişimdeki bulut depolama indirme bağlantılarını incelemek gibi gelişmiş güvenlik önlemleri uygulamalıdır.
Bu araçların sofistike doğası, HIVE0154’ün sürekli evrimini bölgesel istikrar ve örgütsel güvenlik için önemli bir siber tehdit olarak göstermektedir.
Uzlaşma Göstergeleri (IOCS):
| Gösterge | Gösterge Türü | Bağlam |
|---|---|---|
| F8b28cae687bd55a148d363d58f13a797486f12221f0e0d080fb53611d54231 | SHA256 | Toneshell’i teslim eden silahlı arşiv8 |
| 8132beeb25ce7baed0b56192d264b2a9852957df7b6a3daacfb3a969485c79 | SHA256 | Toneshell’i teslim eden silahlı arşiv8 |
| D146dca25e28f0b7fae71d5c2abc07b397037a9e674f38602690e96cc5b2bd4 | SHA256 | Toneshell’i teslim eden silahlı arşiv8 |
| 1272A0853651069ED4DC505007E8525F99E1454F9E033BCC2E58D60FDAFA4F02 | SHA256 | Toneshell’i teslim eden silahlı arşiv8 |
| B8C31B8D8AF9E6EAE15F30019E39C52B1A53AA1C8B0C93C8D075254ED10D8DFC | SHA256 | Toneshell’i teslim eden silahlı arşiv7 |
| 7087E84F69C47910FD39C3869A706E55324783AF8D03465A9E7BFDE52FE4D1D6 | SHA256 | Puboad sunan silahlı arşiv |
| 2 | SHA256 | Puboad sunan silahlı arşiv |
| 69cb87b2d8e0f46dae791b5a0c5735a7554c3c21b1d989baa0f38c45085c | SHA256 | Silahlı Arşiv için İndirme URL’si içeren PDF |
| 564a03763879aaed4da8a8c1d6067f4112d8e13bb46c2f80e0fcb9ffdd40384c | SHA256 | Yükleyici enjekte Toneshell7 |
| E4bb60d89969fd84126f9fa0dff72314610c56ffca3d11f3b6fc93fcb75e00 | SHA256 | Yükleyici enjekte eden pubroad |
| c2d1ff85e9bb8feb14fd015dceee166c2e52e2226c07e23ACC34815C0EB4608 | SHA256 | Yükleyici enjekte eden pubroad |
| 188.208.141[.]196 | IPv4 | Puboad C2 Sunucusu |
| Bdbc936ddc9234385317c4ee83bda087e389235c4a182736fc597565042f7644 | SHA256 | Tonshell8 arka kapı |
| F0FEC3B271B83E23ED7965198F3B00EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEDEEEECEE45BD836B10C0C038E910675BAFEFBB1 | SHA256 | Tonshell8 arka kapı |
| E7B29611C789A6225ABBC9FEE3710A5B51537693CB2EC16E2177C22392B546 | SHA256 | Tonshell8 arka kapı |
| 9ca5b2cbc3677a5967c448d9d21b56956898cd08c06b372c6471fb68d37d7d | SHA256 | Tonshell8 arka kapı |
| 146.70.29[.]229 | IPv4 | TonShell7/Toneshell8 C2 Sunucusu |
| 318A1EBC0692D1D012D20D306D6634B196CC387B1F4BC38F97DD437F117C7E20 | SHA256 | Tonshell9 arka kapı |
| 0D632A8F6DD6956AD98DB56E53C8F16286A59AA2BEA81C2761D43B6AB4ECAFD | SHA256 | Toneshell sunan silahlı arşiv 9 |
| 39E7BCTEDDDD16F6C4F2FC2335A50C534E182669CB5FA90CBE29E49EC6DFD0DF | SHA256 | Toneshell sunan silahlı arşiv 9 |
| 05B6A06B404B6340960D7A6CF6B1293E706CE00D7CBA9A8B72B3780298DC25D | SHA256 | Toneshell çatal içeren yükleyici (Toneshell9 için temeli) |
| 123.253.34[.]44 | IPv4 | Toneshell9 C2 Sunucusu |
| www.slickvpn[.]com | İhtisas | Toneshell9 C2 Sunucusu |
| Dd694aaf444731da313e4594d6ca33b8e0fcce505e39f8273b9242fdf6220e0 | SHA256 | SNAKEDISK USB Solucanı |
| Bb5bb82e5caf7d4dbbbe878b75b23f793a5f3ca6dba70d8be447e8c004d26ce | SHA256 | SNAKEDISK’in DLL Sideloading Yokai için Kullanılan İyi huylu exe yükü |
| 35Bec1d8699d29c27b66e5646e58d25ce85ea1e41481d048bcea89ea94f8fb4b | SHA256 | Yokai arka kapı dll |
| http: //118.174.183[.]89/kptinfo/ithalat/index.php | Url | Yokai C2 Sunucusu |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.