与中国结盟的威胁行为体“野马熊猫”(Mustang Panda)被发现使用了名为TONESHELL的后门程序的更新版本,以及一个此前未被记录的名为SnakeDisk的USB蠕虫病毒。
IBM X-Force的研究人员戈洛·米尔和乔舒亚·钟在上周发表的一份分析报告中表示:“这种蠕虫仅在具有泰国IP地址的设备上执行,并会植入Yokai后门。”
这家科技巨头的网络安全部门正以Hive0154的名称追踪该黑客团伙,该团伙也被广泛称为BASIN、青铜总统、科迈罗龙、地饿鬼、HoneyMyte、北极星、红三角洲、庄严金牛座和斜纹台风。据信,这个由国家支持的威胁行为者至少从2012年起就开始活跃。
TONESHELL最早是由趋势科技于2022年11月公开记录的,它是2022年5月至10月期间针对缅甸、澳大利亚、菲律宾、日本和中国台湾地区的网络攻击的一部分。它通常通过DLL侧加载执行,主要功能是在受感染的主机上下载下一阶段的有效载荷。
典型的攻击链包括使用鱼叉式钓鱼邮件来植入PUBLOAD或TONESHELL等恶意软件家族。PUBLOAD的功能与TONESHELL类似,它也能够通过HTTP POST请求从命令与控制(C2)服务器下载shellcode有效载荷。
IBM X-Force将新发现的TONESHELL变种命名为TONESHELL8和TONESHELL9,这些变种通过本地配置的代理服务器支持C2通信,以便融入企业网络流量,并能同时运行两个活跃的反向shell。TONESHELL8还在恶意软件的函数中植入了从OpenAI的ChatGPT网站复制的垃圾代码,以此规避静态检测并抗拒分析。
通过DLL侧载方式投放的还有一个名为SnakeDisk的新型USB蠕虫,它与TONESHELL家族下的另一个USB蠕虫框架TONEDISK(又名WispRider)存在相似之处。该蠕虫主要用于检测连接到主机的新USB设备和现有USB设备,并以此作为传播途径。
具体来说,它会将USB上现有的文件移动到一个新的子目录中,通过将该子目录命名为USB设备的卷名或“USB.exe”,从而有效地诱使受害者在新机器上点击恶意负载。一旦恶意软件启动,文件就会被复制回其原始位置。
该恶意软件的一个显著特点是它设有地理围栏,仅在地理定位为泰国的公共IP地址上执行。SnakeDisk还充当投放Yokai的渠道,Yokai是一种后门程序,能建立反向shell来执行任意命令。Netskope曾在2024年12月详细披露过它在针对泰国官员的入侵活动中的相关情况。
IBM表示:“Yokai与其他归属于Hive0154的后门家族存在重叠之处,例如PUBLOAD/PUBSHELL和TONESHELL。尽管这些家族是明显独立的恶意软件,但它们大致遵循相同的结构,并使用类似的技术与自己的命令和控制服务器建立反向shell。”
SnakeDisk和Yokai的使用可能指向“野马熊猫”组织内部一个高度专注于泰国的子团体,同时也凸显了该威胁行为者武器库的持续演变和完善。
该公司总结道:“Hive0154仍是一个能力极强的威胁行为体,拥有多个活跃的子集群和频繁的开发周期。”“该组织似乎维持着一个相当庞大的恶意软件生态系统,在恶意代码、攻击过程中使用的技术以及攻击目标方面都存在频繁的重叠。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
