Se ha observado que el actor de amenaza china conocido como Mustang Pandas ha llamado versiones actualizadas de la puerta trasera llamada Toneshell y Worms USB previamente indocumentados SNAKINDISK.
«El gusano se ejecuta solo en dispositivos con direcciones IP con sede en Tailandia y deja caer en la parte trasera de Yokai», dijeron los investigadores de IBM X-Force Golomühr y Joshua Chung en un análisis publicado la semana pasada.
El departamento de ciberseguridad de Tech Giant rastrea el clúster bajo el nombre Hive0154. También es ampliamente conocido como la cuenca, el presidente de bronce, el dragón de Camaro, la tierra preta, el ácaro de la miel, los polaris, el delta rojo, el delta rojo y el truille-y-junio. Se cree que el actor de amenaza patrocinado por el estado ha estado activo desde al menos 2012.
Toneshel fue publicado por primera vez por Trend Microway en noviembre de 2022 como parte de un ciberataque dirigido a Myanmar, Australia, Filipinas, Japón y Taiwán entre mayo y octubre. La responsabilidad principal típicamente realizada a través de DLL Sideloads es descargar la carga útil de la siguiente etapa al host infectado.
Una cadena de ataque típica implica el uso de correos electrónicos de phishing de lanza para lanzar familias de malware como Putoad y Toneshell. Trabajando de manera similar a Toneshell, PublOad también puede descargar cargas útiles de Shellcode a través de solicitudes de publicación HTTP desde un servidor de comando y control (C2).
Las variantes Toneshell recientemente identificadas de IBM X-Force, llamada Toneshell 8 y Toneshell 9, admiten la comunicación C2 a través de servidores proxy configurados localmente, fusionados con el tráfico de red empresarial y promueven dos capas inversas activas en paralelo. Además, para evitar la detección estática y el análisis de resistencia, el código de basura copiado del sitio web de ChatGPT de OpenAI está integrado en la funcionalidad de malware.
Además, arrancado con DLL Sideload es un nuevo gusano USB llamado Snakedisk, que se superpone con Tonedisk (también conocido como Wisprider). Este es otro marco de gusano USB bajo la familia Toneshell. Principalmente detecta dispositivos USB nuevos y existentes conectados al host y los utiliza como un medio de propagación.
Específicamente, haga clic en la carga útil maliciosa de la nueva máquina moviendo los archivos existentes en el USB a un nuevo subdirectorio y engañe efectivamente a la víctima para que establezca el nombre en el nombre del volumen o «USB.EXE» del dispositivo USB. Cuando comienza el malware, los archivos se copian en su ubicación original.
Un aspecto notable del malware es que es geofílico ejecutar solo en direcciones IP públicas geolocadas en Tailandia. Snakedisk también funciona como un conducto para dejar caer Yokai. Esta es una puerta trasera que configura un shell inverso para ejecutar cualquier comando. Esta fue una invasión dirigida a funcionarios tailandeses, que anteriormente fue detallado por Netskope en diciembre de 2024.
«Yokai muestra una superposición con otras familias de puerta trasera debido a Hive0154, como Putoad/PubShell y Toneshell», dijo IBM. «Estas familias son obviamente partes separadas del malware, pero siguen aproximadamente la misma estructura y usan técnicas similares para establecer un shell inverso en un servidor C2».
El uso de Snaikd y Yokai se refiere a los subgrupos demasiado enfocados dentro de Mustang Panda en Tailandia, al tiempo que destaca la evolución y el refinamiento continuo del arsenal de los actores de amenazas.
«Hive0154 sigue siendo un actor de amenaza altamente capaz con múltiples subclusters activos y ciclos de desarrollo frecuentes», concluyó la compañía. «Este grupo parece mantener un ecosistema de malware bastante grande que con frecuencia se superpone tanto en código malicioso, técnicas utilizadas durante los ataques y la orientación».
Source link
