2025年7月,网络安全领域的紧张局势显著升级,当时与中国结盟的威胁行为体Hive0154(通常被称为“野马熊猫”)部署了复杂的新型恶意软件变体,旨在突破物理隔离系统。
这个高级持续性威胁组织推出了新型USB蠕虫SnakeDisk,以及更新后的Toneshell9后门程序,这标志着其针对东亚网络的网络间谍能力出现了有计划的升级。
该活动表明,“野马熊猫”组织的战略重点是通过物理传播方法规避传统的网络安全措施。
SnakeDisk的运作具有地理精准性,仅在拥有泰国本土IP地址的系统上执行,这表明其是高度针对性的操作,与近期泰国和柬埔寨之间的地缘政治紧张局势相呼应。
该恶意软件的选择性激活机制反映出该组织复杂的操作安全性,以及其在最大限度减少暴露的同时,对特定目标造成最大影响的渴望。
IBM分析师通过对2025年中期从新加坡和泰国上传的武器化档案进行全面分析,识别出了这些恶意软件变体。
研究人员发现,SnakeDisk与之前的Tonedisk变体存在大量代码重叠,同时还引入了更先进的规避技术和突破空气间隙的能力。
这种USB蠕虫与Yokai后门程序一同部署,表明存在一种多阶段感染策略,其目的是在隔离的网络环境中建立持久的访问权限。
该威胁行为者的操作方法包括通过Box等云存储平台分发武器化的压缩文件,这些文件通常伪装成来自政府机构的合法文档。
这些档案包含植入了木马的软件,这些软件会侧载恶意动态链接库(DLL),从而启动感染链。恶意软件一旦安装成功,就会通过计划任务和注册表修改来保持持久性,确保即使在系统重启后也能继续访问。
包含可部署Toneshell7的武器化档案下载链接的PDF(来源——IBM)
这些工具的出现恰逢泰国和柬埔寨之间边境冲突的不断升级,这表明该行动背后存在国家支持的动机。
“野马熊猫”开发具有地理针对性恶意软件的能力,彰显了其先进的技术实力和战略性的情报收集行动。
高级USB传播与空气间隙渗透机制
SnakeDisk采用复杂技术将USB设备武器化,并渗透到物理隔离的系统中。
该恶意软件通过使用320字节密钥的自定义两阶段异或解密算法解析配置文件来开始执行。
此配置包含18个字符串值,这些值定义了蠕虫的运行参数,包括目录结构、文件名和持久化机制。
USB感染过程始于使用Windows API的IOCTL_STORAGE_GET_HOTPLUG_INFO进行全面的设备检测,以识别可移动存储设备。
一旦检测到USB驱动器,SnakeDisk就会创建一个复杂的文件结构,将用户的原始文件隐藏在子目录中,同时在根目录中放置一个武器化的可执行文件。
这种恶意软件会同时使用SHFileOperationW和robocopy命令来转移现有文件,如下列操作所示:
robocopy <drive_letter>:\ <drive_letter>:\<urd>\<uud>\ /XD "<drive_letter>:\<urd>\" /XF "<drive_letter>:\<unendl_org>" /E /MOVE这一过程会创建多个具有系统和隐藏属性的隐藏目录,在保持USB设备正常外观的同时,有效地隐藏恶意基础设施。
该蠕虫程序建立一个Windows消息循环来监控WM_DEVICECHANGE事件,从而能够实时检测USB设备的插入和移除事件。
当设备被移除时,SnakeDisk会触发有效载荷执行,通过一系列拼接的加密文件将Yokai后门植入C:\Users\Public\目录,这些文件在部署时会重构出最终的恶意可执行文件。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
