Çin ile uyumlu tehdit aktörü olarak bilinen Mustang Panda Toneshell adlı bir arka kapının güncellenmiş bir versiyonu ve daha önce belgelenmemiş bir USB solucanı SNAKEDISK kullanılarak gözlemlenmiştir.
IBM X-Force araştırmacıları Golo Mühr ve Joshua Chung, geçen hafta yayınlanan bir analizde, “Solucan yalnızca Tayland tabanlı IP adreslerine sahip cihazlarda yürütülüyor ve Yokai Backdoor’u bırakıyor.” Dedi.
Teknoloji devinin Siber Güvenlik Bölümü, Kümeyi Havza, Bronz Başkan, Camaro Dragon, Earth Preta, Honeymyte, Polaris, Reddelta, Görkemli Toros ve Twill Typhoon olarak adlandırılan HIVE0154 adı altında izliyor. Devlet destekli tehdit oyuncunun en az 2012’den beri aktif olduğuna inanılıyor.
Toneshell, Mayıs ve Ekim ayları arasında Myanmar, Avustralya, Filipinler, Japonya ve Tayvan’ı hedefleyen siber saldırıların bir parçası olarak Kasım 2022’de trend micro Way tarafından kamuya açıklandı. Genellikle DLL yan yükleme yoluyla yürütülen birincil sorumluluğu, enfekte ana bilgisayarda sonraki aşamalı yükleri indirmektir.
Tipik saldırı zincirleri, Puboad veya Toneshell gibi kötü amaçlı yazılım ailelerini düşürmek için mızrak aktı e-postalarının kullanımını içerir. Toneshell’e benzer şekilde işlev gören Puboad, bir komut ve kontrol (C2) sunucusundan HTTP Post istekleri aracılığıyla kabuk kodu yüklerini indirebilir.
IBM X-Force tarafından Toneshell8 ve Toneshell9 adlı yeni tanımlanan Toneshell varyantları, yerel olarak yapılandırılmış proxy sunucuları aracılığıyla C2 iletişimini kurumsal ağ trafiği ile karıştırmak ve paralel olarak iki aktif ters mermi kolaylaştırmak için destekleyin. Ayrıca, statik algılama ve direnç analizinden kaçınmak için Openai’nin chatgpt web sitesinden kötü amaçlı yazılım işlevleri içinde kopyalanan önemsiz kodları içerir.
Ayrıca DLL yan yükleme kullanılarak piyasaya sürüldü, Snakedisk adlı yeni bir USB solucanı, Toneshell ailesi altındaki başka bir USB solucan çerçevesi olan TonEDISK (aka Wisprider) ile örtüşüyor. Esas olarak ana bilgisayara bağlı yeni ve mevcut USB cihazlarını tespit etmek için kullanılır ve bir yayılma aracı olarak kullanılır.
Özellikle, USB’deki mevcut dosyaları yeni bir alt-yöneticiye taşır ve adını USB cihazının ses adına veya “usb.exe” olarak ayarlayarak yeni bir makinedeki kötü amaçlı yükü tıklamak için kurbanı etkili bir şekilde kandırır. Kötü amaçlı yazılım başlatıldıktan sonra, dosyalar orijinal konumlarına geri kopyalanır.
Kötü amaçlı yazılımın dikkate değer bir yönü, yalnızca Tayland’a yerleşmiş genel IP adreslerinde yürütülmesi için coğrafi olmasıdır. SNAKEDISK ayrıca keyfi komutları yürütmek için ters bir kabuk ayarlayan bir arka kapı olan Yokai’yi düşürmek için bir kanal görevi görür. Daha önce Netskope tarafından Aralık 2024’te Taylandlı yetkilileri hedefleyen müdahalelerde detaylandırılmıştı.
IBM, “Yokai şovları, HIVE0154’e atfedilen diğer arka kapı aileleriyle Pubroad/Pubshell ve Toneshell gibi örtüşüyor.” Dedi. “Bu aileler açıkça ayrı bir kötü amaçlı yazılım parçaları olmasına rağmen, kabaca aynı yapıyı takip ediyorlar ve C2 sunucularıyla ters bir kabuk oluşturmak için benzer teknikler kullanıyorlar.”
Snakedisk ve Yokai’nin kullanımı muhtemelen Mustang Panda içinde Tayland üzerinde hiper odaklı bir alt gruba işaret ederken, aynı zamanda tehdit aktörünün cephaneliğinin sürekli evrimini ve iyileştirilmesinin altını çiziyor.
Şirket, “HIVE0154, birden fazla aktif alt kümeye ve sık geliştirme döngülerine sahip oldukça yetenekli bir tehdit aktörü olmaya devam ediyor.” “Bu grup, hem kötü amaçlı kodlarda, saldırılar sırasında kullanılan tekniklerde hem de hedeflemede sık sık çakışmalara sahip oldukça büyük bir kötü amaçlı yazılım ekosistemini sürdürüyor gibi görünüyor.”