Código HTML do Conteúdo

Post: Mustang Panda, ligado à China, implanta worm USB SnakeDisk avançado - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <h2>Mustang Panda, ligado &agrave; China, implanta worm USB SnakeDisk avan&ccedil;ado</h2> <h2>O grupo APT Mustang Panda, vinculado &agrave; China, foi flagrado usando um novo worm USB chamado SnakeDisk, juntamente com uma nova vers&atilde;o de malware conhecido</h2> <p>Grupo APT vinculado &agrave; China <strong><a href="https://securityaffairs.com/tag/mustang-panda" target="_blank">Mustang Panda</a></strong> (tamb&eacute;m conhecido como Hive0154,<a href="https://securityaffairs.com/146301/apt/mustang-panda-targets-tp-link-routers.html" target="_blank">Camaro Drag&atilde;o</a>,<a href="https://securityaffairs.com/115693/apt/chinese-hackers-5g.html" target="_blank">VermelhoDelta</a>ou<a href="https://securityaffairs.com/135557/apt/bronze-president-plugx-malware.html" target="_blank">Presidente Bronze</a>)foi detectado usando uma vers&atilde;o atualizada do <a href="https://securityaffairs.com/176662/apt/china-linked-apt-mustang-panda-upgrades-tools-in-its-arsenal.html" target="_blank">CONCHA DE TOM</a> backdoor e um worm USB n&atilde;o documentado anteriormente chamado SnakeDisk.</p> <p>O Mustang Panda est&aacute; ativo desde pelo menos 2012, visando<a href="https://www.cisa.gov/uscert/ncas/alerts/TA17-117A" target="_blank">Americano</a>e<a href="https://blog.google/threat-analysis-group/update-threat-landscape-ukraine/" target="_blank">Europeu</a>entidades como organiza&ccedil;&otilde;es governamentais, think tanks,<a href="https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-june-mustang-panda/" target="_blank">ONGs</a>, e at&eacute; mesmo<a href="https://go.recordedfuture.com/hubfs/reports/cta-2020-0728.pdf" target="_blank">Organiza&ccedil;&otilde;es cat&oacute;licas</a>no Vaticano. As campanhas anteriores se concentraram em pa&iacute;ses asi&aacute;ticos, incluindo Taiwan, Hong Kong, Mong&oacute;lia, Tibete e Mianmar. Nas campanhas de 2022, os agentes de amea&ccedil;as usaram relat&oacute;rios da Uni&atilde;o Europeia sobre o conflito na Ucr&acirc;nia e relat&oacute;rios do governo ucraniano como iscas. Ao abrir os relat&oacute;rios, o processo de infec&ccedil;&atilde;o come&ccedil;a a levar &agrave; implanta&ccedil;&atilde;o de malware no sistema da v&iacute;tima.</p> <p>Em fevereiro de 2024, os pesquisadores da Trend Micro observaram o grupo visando pa&iacute;ses asi&aacute;ticos, incluindo Taiwan, Vietn&atilde; e Mal&aacute;sia. Em abril de 2025, o grupo APT Mustang Panda implantou um novo backdoor personalizado, <a href="https://securityaffairs.com/176662/apt/china-linked-apt-mustang-panda-upgrades-tools-in-its-arsenal.html" target="_blank">denominado MQsTTang</a>, em ataques direcionados &agrave; Europa, &Aacute;sia e Austr&aacute;lia.</p> <p>Em meados de 2025, o IBM X-Force observou o malware Toneshell e Pubload se espalhando por meio de arquivos armados carregados principalmente de Cingapura e Tail&acirc;ndia. A vers&atilde;o mais recente, Toneshell9, n&atilde;o foi detectada pelas varreduras do VirusTotal, usava proxies locais para se esconder dentro do tr&aacute;fego corporativo e executava dois shells reversos ao mesmo tempo. Os pesquisadores da X-Force tamb&eacute;m observaram o SnakeDisk, um worm USB que s&oacute; foi empregado em ataques contra dispositivos na Tail&acirc;ndia. O SnakeDisk infectou unidades, se espalhou por elas e derrubou o backdoor Yokai, que abriu um shell reverso para os invasores. Yokai j&aacute; havia sido ligado a ataques a autoridades tailandesas no final de 2024.</p> <p><em>&ldquo;Em meados de agosto, a X-Force tamb&eacute;m descobriu o SnakeDisk, um novo worm USB que compartilha sobreposi&ccedil;&atilde;o com as variantes anteriores do Tonedisk. O worm s&oacute; &eacute; executado em dispositivos localizados na Tail&acirc;ndia, conforme determinado por seu endere&ccedil;o IP p&uacute;blico.&rdquo; l&ecirc; o <a href="https://www.ibm.com/think/x-force/hive0154-drops-updated-toneshell-backdoor" target="_blank">relat&oacute;rio</a> publicado pela IBM X-Force. &ldquo;A SnakeDisk distribui o backdoor Yokai, que foi publicamente vinculado a v&aacute;rios outros<a href="https://www.netskope.com/blog/new-yokai-side-loaded-backdoor-targets-thai-officials" target="_blank">Campanhas segmentadas pela Tail&acirc;ndia</a>pela Netskope em dezembro de 2024.&rdquo;</em></p> <p>O novo worm USB usando o backdoor Yokai parece estar ligado &agrave;s recentes tens&otilde;es geopol&iacute;ticas envolvendo a Tail&acirc;ndia.</p> <p>Em meados de 2025, eclodiram confrontos fronteiri&ccedil;os entre a Tail&acirc;ndia e o Camboja, aumentando com artilharia, ataques a&eacute;reos e fogo naval. Uma liga&ccedil;&atilde;o vazada derrubou o primeiro-ministro da Tail&acirc;ndia, e as tens&otilde;es atingiram o pico com o Camboja acusando a Tail&acirc;ndia de planejar um assassinato. Com a China apoiando o Camboja, o Hive0154 provavelmente explorou a crise, implantando o SnakeDisk para atingir as redes do governo tailand&ecirc;s.</p> <p>Em agosto de 2025, a X-Force encontrou um <strong>Disco de cobra</strong> Ele espelha a 01.datS.A. <strong>Toneshell9</strong> usando o sideload de DLL, resolu&ccedil;&atilde;o de API quase id&ecirc;ntica e dois modos de execu&ccedil;&atilde;o: <strong>&ldquo;-Incorpora&ccedil;&atilde;o&rdquo;</strong> (infectar USB na remo&ccedil;&atilde;o e, em seguida, executar a carga incorporada) e <strong>&ldquo;-esperan&ccedil;a&rdquo;</strong> (solte e corra imediatamente).</p> <p>O SnakeDisk procura um arquivo de configura&ccedil;&atilde;o em seu diret&oacute;rio pai, valida os candidatos por tamanho e CRC32, depois descriptografa o arquivo selecionado com uma rotina XOR de duas fases e analisa 18 valores de configura&ccedil;&atilde;o que controlam caminhos USB, nomes de arquivos e op&ccedil;&otilde;es de persist&ecirc;ncia. Os pesquisadores notaram que o c&oacute;digo malicioso visa apenas a Tail&acirc;ndia. Antes de ativar suas rotinas USB, o worm chama <code>http://ipinfo.io/json</code> e prossegue somente se a m&aacute;quina relatar seu pa&iacute;s como Tail&acirc;ndia (&ldquo;THA&rdquo; ou &ldquo;TH&rdquo;) e impor a execu&ccedil;&atilde;o de inst&acirc;ncia &uacute;nica por meio de um mutex derivado da configura&ccedil;&atilde;o.</p> <p>O SnakeDisk verifica as letras da unidade para encontrar USBs hotplug. Quando encontra um, ele gera um thread e verifica se h&aacute; infec&ccedil;&otilde;es anteriores, atualizando apenas vers&otilde;es mais antigas. Ele move todos os arquivos USB para uma pasta oculta, tornando os usu&aacute;rios mais propensos a clicar no execut&aacute;vel malicioso rec&eacute;m-descartado, que se disfar&ccedil;a como o nome do volume do USB. Ap&oacute;s o lan&ccedil;amento, ele coloca os arquivos originais de volta, ocultando seus rastros. </p> <p>Quando o SnakeDisk detecta a remo&ccedil;&atilde;o de um dispositivo USB ou inicia com o argumento &ldquo;-hope&rdquo;ent, ele verifica um arquivo de marcador para ver se o sistema j&aacute; est&aacute; infectado; em caso afirmativo, ele sai. Caso contr&aacute;rio, ele cria suas cargas na mem&oacute;ria, descriptografa-as com XOR e grava v&aacute;rios arquivos em C:UsersPublic. Esses arquivos s&atilde;o combinados em duas cargas finais, uma DLL e um execut&aacute;vel com um nome aleat&oacute;rio. Ele exclui os arquivos originais e, em seguida, executa o EXE com um argumento project-mod. O EXE &eacute; um aplicativo assinado que carrega a DLL maliciosa, ativando a funcionalidade principal do SnakeDisk.</p> <ol></ol> <p>O backdoor Yokai DLL descartado pelo SnakeDisk verifica &ldquo;-project-mod&rdquo; e estabelece persist&ecirc;ncia por meio de uma tarefa agendada para n&atilde;o administradores. Ele cria um mutex e carrega sua configura&ccedil;&atilde;o, usando a string de vers&atilde;o &ldquo;1.0.0&rdquo;. O backdoor se conecta a um C2 codificado por meio de solicita&ccedil;&otilde;es POST, enviando dados criptografados. Yokai abre um shell reverso por meio de pipes an&ocirc;nimos, permitindo que seus operadores executem comandos arbitr&aacute;rios. O Yokai compartilha sobreposi&ccedil;&otilde;es t&eacute;cnicas com outras fam&iacute;lias de backdoor do Hive0154, como Toneshell e Pubload, e se aproxima da propaga&ccedil;&atilde;o, configura&ccedil;&atilde;o e t&eacute;cnica de sideload do Tonedisk. Os pesquisadores apontaram que os subclusters geralmente reutilizam e compartilham c&oacute;digo entre fam&iacute;lias de worms e backdoor.</p> <p><em>&ldquo;O Hive0154 continua sendo um agente de amea&ccedil;as altamente capaz, com v&aacute;rios subclusters ativos e ciclos de desenvolvimento frequentes. A X-Force avalia com alta confian&ccedil;a que grupos alinhados &agrave; China, como o Hive0154, continuar&atilde;o a refinar seu grande arsenal de malware e atingir organiza&ccedil;&otilde;es p&uacute;blicas e privadas em todo o mundo&rdquo;, conclui o relat&oacute;rio. &ldquo;O malware discutido no relat&oacute;rio acima provavelmente ainda est&aacute; em desenvolvimento inicial, permitindo que os defensores adotem mecanismos de detec&ccedil;&atilde;o antes de seu uso generalizado.&rdquo;</em></p> <p>Siga-me no Twitter:<a href="https://twitter.com/securityaffairs" target="_blank">@securityaffairs</a>e<a href="https://www.facebook.com/sec.affairs" target="_blank">Linkedin</a>e<a href="https://infosec.exchange/@securityaffairs" target="_blank">Mastodonte</a></p> <p><a href="http://www.linkedin.com/pub/pierluigi-paganini/b/742/559" target="_blank">PierluigiPaganini</a></p> <p>(<a href="http://securityaffairs.co/wordpress/" target="_blank">Assuntos de Seguran&ccedil;a</a>&ndash;hacking,SnakeDisk)</p> <hr> <hr> </div></div>