VietNetwork.Vn

Kẻ tấn công liên kết với Trung Quốc có tên là Mustang Panda đã bị phát hiện sử dụng phiên bản cập nhật của một cửa hậu có tên là TONESHELL và một loại sâu USB chưa từng được ghi nhận trước đây có tên là SnakeDisk.

"Con sâu này chỉ thực thi trên các thiết bị có địa chỉ IP ở Thái Lan và thả backdoor Yokai ", các nhà nghiên cứu Golo Mühr và Joshua Chung của IBM X-Force cho biết trong một bài phân tích được công bố tuần trước.


Bộ phận an ninh mạng của gã khổng lồ công nghệ đang theo dõi cụm máy tính này dưới tên Hive0154, còn được gọi rộng rãi là BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus và Twill Typhoon. Nhóm tin tặc do nhà nước bảo trợ này được cho là đã hoạt động ít nhất từ năm 2012.

TONESHELL lần đầu tiên được Trend Micro ghi nhận công khai vào tháng 11 năm 2022, là một phần của các cuộc tấn công mạng nhắm vào Myanmar, Úc, Philippines, Nhật Bản và Đài Loan từ tháng 5 đến tháng 10. Thường được thực hiện thông qua tải DLL phụ, nhiệm vụ chính của nó là tải xuống các payload giai đoạn tiếp theo trên máy chủ bị nhiễm.

Chuỗi tấn công điển hình bao gồm việc sử dụng email lừa đảo để phát tán các nhóm phần mềm độc hại như PUBLOAD hoặc TONESHELL. PUBLOAD, cũng hoạt động tương tự TONESHELL, có khả năng tải xuống các payload mã shell thông qua các yêu cầu HTTP POST từ máy chủ chỉ huy và điều khiển (C2).

Các biến thể TONESHELL mới được xác định, được IBM X-Force đặt tên là TONESHELL8 và TONESHELL9, hỗ trợ giao tiếp C2 thông qua các máy chủ proxy được cấu hình cục bộ để hòa nhập với lưu lượng mạng doanh nghiệp và tạo điều kiện cho hai shell ngược hoạt động song song. Nó cũng tích hợp mã rác được sao chép từ trang web ChatGPT của OpenAI vào các chức năng của phần mềm độc hại để tránh bị phát hiện tĩnh và chống lại việc phân tích.

Cũng được triển khai bằng cách tải DLL phụ là một loại sâu USB mới có tên SnakeDisk, có chung đặc điểm chồng chéo với TONEDISK (hay còn gọi là WispRider), một nền tảng sâu USB khác thuộc họ TONESHELL. Nó chủ yếu được sử dụng để phát hiện các thiết bị USB mới và hiện có được kết nối với máy chủ, sử dụng nó làm phương tiện lây lan.

Cụ thể, nó di chuyển các tập tin hiện có trên USB vào một thư mục con mới, lừa nạn nhân nhấp vào phần mềm độc hại trên máy tính mới bằng cách đặt tên cho phần mềm này thành tên ổ đĩa của thiết bị USB hoặc "USB.exe". Sau khi phần mềm độc hại được khởi chạy, các tập tin sẽ được sao chép trở lại vị trí ban đầu.

Một khía cạnh đáng chú ý của phần mềm độc hại này là nó được thiết lập ranh giới địa lý để chỉ thực thi trên các địa chỉ IP công cộng nằm trong lãnh thổ Thái Lan. SnakeDisk cũng đóng vai trò là kênh trung gian để cài Yokai, một backdoor thiết lập một reverse shell để thực thi các lệnh tùy ý. Trước đó, Netskope đã nêu chi tiết về nó vào tháng 12 năm 2024 trong các vụ xâm nhập nhắm vào các quan chức Thái Lan.

IBM cho biết: "Yokai có sự trùng lặp với các họ mã độc backdoor khác được cho là thuộc Hive0154, chẳng hạn như PUBLOAD/PUBSHELL và TONESHELL. Mặc dù các họ mã độc này rõ ràng là những phần mềm độc hại riêng biệt, nhưng chúng có cấu trúc gần giống nhau và sử dụng các kỹ thuật tương tự để thiết lập một reverse shell với máy chủ C2 của chúng."

Việc sử dụng SnakeDisk và Yokai có thể ám chỉ đến một nhóm nhỏ trong Mustang Panda tập trung cao độ vào Thái Lan, đồng thời cũng nhấn mạnh sự phát triển và tinh chỉnh liên tục trong kho vũ khí của tác nhân đe dọa này.

"Hive0154 vẫn là một tác nhân đe dọa có năng lực cao với nhiều cụm hoạt động phụ và chu kỳ phát triển thường xuyên", công ty kết luận. "Nhóm này dường như duy trì một hệ sinh thái phần mềm độc hại khá lớn với sự trùng lặp thường xuyên về cả mã độc, kỹ thuật được sử dụng trong các cuộc tấn công, cũng như mục tiêu nhắm đến."