SnakeDisk USBワーム
中国と連携する脅威アクター「Mustang Panda」は、サイバースパイ活動において新たなツールを導入しました。研究者らは最近、改良版のTONESHELLバックドアと、これまで知られていなかったSnakeDiskと呼ばれるUSBワームの使用を記録しました。この2つのツールの追加は、このグループが最も執拗な国家支援型攻撃グループの一つであるという評判を強固なものにしています。
目次
攻撃の背後にいるのは誰ですか?
サイバーセキュリティの専門家は、Mustang Pandaに関連する包括的な名称であるHive0154というクラスター名でこの活動を監視しています。このクラスターは、BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoonなど、複数の別名でも知られています。
証拠によれば、Mustang Panda は少なくとも 2012 年から活動しており、中国の国家利益のためにスパイ活動に重点を置いた活動を行っているようです。
SnakeDisk:ステルス性の高いUSBワーム
SnakeDiskは、DLLサイドローディングを介して拡散する、新たに確認されたワームです。TONESHELLマルウェアファミリーに属し、別のUSBワームフレームワークであるTONEDISK(別名WispRider)と明確な重複が見られます。
主な機能は次のとおりです。
- 接続されている USB デバイスを監視して、伝播の機会を探します。
- 既存の USB ファイルを隠しサブディレクトリに移動し、デバイスのボリューム名または単に USB.exe を装った悪意のある実行可能ファイルに置き換えます。
- 新しいシステムでマルウェアが起動したら、元のファイルを復元して、疑いを軽減します。
顕著な特徴はそのジオフェンシングです。SnakeDisk はタイベースの IP アドレスを持つデバイスでのみ実行され、ターゲット範囲が狭まります。
妖怪:SnakeDiskが配信するバックドア
SnakeDiskは、任意のコマンドを実行するためのリバースシェルを設定するバックドア「Yokai」の配信メカニズムとして機能します。2024年12月に初めて報告されたYokaiは、タイ政府関係者に対する攻撃活動に関連していました。
このマルウェアは、PUBLOAD/PUBSHELLやTONESHELLなど、Hive0154に起因する他のバックドアファミリーと技術的な類似点を持っています。これらのファミリーはそれぞれ異なる系統ですが、コマンドアンドコントロール(C2)サーバーとの通信に類似した構造と手法を使用しています。
タイへの戦略的重点
SnakeDiskに組み込まれた標的ルールとYokaiの展開は、Mustang Pandaのサブグループがタイに重点的に攻撃を仕掛けていることを強く示唆しています。これは、東南アジアにおける洗練された戦略と、地域に合わせた活動の展開を示唆しています。
広大かつ進化を続けるマルウェアエコシステム
Hive0154は、大規模で相互接続されたマルウェアエコシステムを維持する能力で際立っています。その活動は以下のことを示しています。
- 悪意のあるコードと攻撃手法の頻繁な重複。
- サブクラスターと特殊なマルウェアを使用した継続的な実験。
- 開発サイクルのペースが一定で、適応性を重視します。
Mustang Panda の進化する武器庫は、脅威の主体が地域的焦点を絞りながら諜報能力を向上させるという長期的な取り組みを強調しています。
