Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Hive0154 (Mustang Panda): кибершпионаж, Toneshell9 и SnakeDisk

1
3 мин
Китайско‑связанная группировка Hive0154, также известная как Mustang Panda, продолжает кампанию кибершпионажа, ориентированную на Восточную Азию. По данным X‑Force, злоумышленники внедрили обновлённые варианты вредоносного ПО — в частности бэкдор Toneshell и новый USB‑червь SnakeDisk, — что указывает на эволюцию тактик и повышение степени скрытности атак. Toneshell9 демонстрирует продвинутый набор техник уклонения и скрытного выполнения: SnakeDisk реализует методику, близкую к Toneshell9 по механизму выполнения и разрешению API: Hive0154 представляет собой сложный кластер с множеством подкластеров, которые совместно адаптируют различные методы в рамках целевых кампаний. Последовательность разработки — комбинирование средств запуска, загрузчиков и бэкдор‑компонентов — демонстрирует системный подход к созданию многоуровневых инструментов для длительного присутствия в сетях жертв. Аналитики X‑Force подчёркивают необходимость усовершенствованных механизмов обнаружения и повышенной бдительн
Оглавление
Источник: www.ibm.com
Источник: www.ibm.com

Китайско‑связанная группировка Hive0154, также известная как Mustang Panda, продолжает кампанию кибершпионажа, ориентированную на Восточную Азию. По данным X‑Force, злоумышленники внедрили обновлённые варианты вредоносного ПО — в частности бэкдор Toneshell и новый USB‑червь SnakeDisk, — что указывает на эволюцию тактик и повышение степени скрытности атак.

Ключевые находки исследователей

  • X‑Force обнаружила различные версии Toneshell и Pubload, причём Toneshell9 стал заметным обновлением, эффективно избегающим обнаружения на платформах вроде VirusTotal.
  • Toneshell9 использует C2‑связь через локально настроенные прокси‑серверы, что помогает маскировать трафик под обычные сетевые потоки предприятия и поддерживать две обратные оболочки.
  • Новый USB‑червь SnakeDisk, выявленный в августе 2025 года, предназначен для работы на устройствах, подключённых к сетям в Таиланде, и имеет сходство с предыдущими USB‑червями, связанными с Hive0154.
  • Аналитики отмечают существенное совпадение функциональности и фрагментов кода между SnakeDisk и ранее известным Tonedisk, что подтверждает общность разработческих практик внутри кластера.

Как работает Toneshell9

Toneshell9 демонстрирует продвинутый набор техник уклонения и скрытного выполнения:

  • Вектор доставки: вооружённый RAR-архив, содержащий BAT-файл.
  • Загрузка: BAT запускает легитимный исполняемый файл, который через DLL sideloading загружает библиотеку DLL Toneshell непосредственно в память.
  • Разрешение функций: вредоносное ПО выполняет разрешение основных API и устанавливает связь с сервером C2, перебирая локальные прокси при необходимости.
  • Поддержание связи: каждые 30 секунд отправляются «heartbeat»-сигналы с кодами ответа для координации действий с операторами; одновременно устанавливаются две обратные оболочки.
  • Скрытность: использование локальных прокси и выполнение в памяти затрудняют обнаружение инструментами, включая VirusTotal.

SnakeDisk: USB‑червь с целевым фокусом на Таиланд

SnakeDisk реализует методику, близкую к Toneshell9 по механизму выполнения и разрешению API:

  • Выполнение через DLL sideloading и загрузку в память.
  • Обнаружение подключенных USB‑накопителей и анализ на наличие уже имеющихся инфекций.
  • Самораспространение: при обнаружении уязвимых носителей запускает потоки для заражения USB‑дисков.
  • Удаление конкурирующего бэкдора: после инициализации SnakeDisk удаляет бэкдор Yokai, ранее использовавшийся в атаках на тайских чиновников.
  • Идентификация устройств: проверяет, являются ли накопители «hot‑pluggable», и принимает решение о заражении на основе наличия предыдущих версий вредоносного ПО.

Структура и тактика Hive0154

Hive0154 представляет собой сложный кластер с множеством подкластеров, которые совместно адаптируют различные методы в рамках целевых кампаний. Последовательность разработки — комбинирование средств запуска, загрузчиков и бэкдор‑компонентов — демонстрирует системный подход к созданию многоуровневых инструментов для длительного присутствия в сетях жертв.

Аналитики X‑Force подчёркивают необходимость усовершенствованных механизмов обнаружения и повышенной бдительности для противодействия таким сложным стратегиям вредоносного ПО.

Риски и практические рекомендации

Деятельность Hive0154 представляет серьёзную угрозу для организаций государственного и частного секторов, особенно на территории Юго‑Восточной Азии. Рекомендации по снижению риска включают:

  • Ограничение использования внешних носителей: политика контроля USB, отключение autorun и внедрение средств контроля устройств.
  • Мониторинг подозрительной активности DLL sideloading и исполнения из архивов (RAR, BAT).
  • Повышение уровня сетевого мониторинга: отслеживание аномалий в прокси‑конфигурациях и подозрительных C2‑подключениях.
  • Использование EDR/UEBA и сигнатурных/поведенческих правил (YARA) для выявления похожих образцов.
  • Обмен Threat Intelligence и оперативное реагирование на инциденты, включая анализ и изоляцию подозрительных хостов.

Вывод

Hive0154 (Mustang Panda) продолжает эволюцию инструментов и тактик, что повышает сложность обнаружения и реагирования. Наличие таких образцов, как Toneshell9 и SnakeDisk, подчёркивает необходимость комплексного подхода к безопасности: от профилактики и контроля USB‑устройств до активного мониторинга сетевого трафика и оперативного обмена информацией между организациями.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Hive0154 (Mustang Panda): кибершпионаж, Toneshell9 и SnakeDisk".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются