СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.09.2025
#Dev#ИБ#Инфра

Hive0154 (Mustang Panda): кибершпионаж, Toneshell9 и SnakeDisk

Hive0154 (Mustang Panda): кибершпионаж, Toneshell9 и SnakeDisk

Источник: www.ibm.com

Китайско‑связанная группировка Hive0154, также известная как Mustang Panda, продолжает кампанию кибершпионажа, ориентированную на Восточную Азию. По данным X‑Force, злоумышленники внедрили обновлённые варианты вредоносного ПО — в частности бэкдор Toneshell и новый USB‑червь SnakeDisk, — что указывает на эволюцию тактик и повышение степени скрытности атак.

Ключевые находки исследователей

  • X‑Force обнаружила различные версии Toneshell и Pubload, причём Toneshell9 стал заметным обновлением, эффективно избегающим обнаружения на платформах вроде VirusTotal.
  • Toneshell9 использует C2‑связь через локально настроенные прокси‑серверы, что помогает маскировать трафик под обычные сетевые потоки предприятия и поддерживать две обратные оболочки.
  • Новый USB‑червь SnakeDisk, выявленный в августе 2025 года, предназначен для работы на устройствах, подключённых к сетям в Таиланде, и имеет сходство с предыдущими USB‑червями, связанными с Hive0154.
  • Аналитики отмечают существенное совпадение функциональности и фрагментов кода между SnakeDisk и ранее известным Tonedisk, что подтверждает общность разработческих практик внутри кластера.

Как работает Toneshell9

Toneshell9 демонстрирует продвинутый набор техник уклонения и скрытного выполнения:

  • Вектор доставки: вооружённый RAR-архив, содержащий BAT-файл.
  • Загрузка: BAT запускает легитимный исполняемый файл, который через DLL sideloading загружает библиотеку DLL Toneshell непосредственно в память.
  • Разрешение функций: вредоносное ПО выполняет разрешение основных API и устанавливает связь с сервером C2, перебирая локальные прокси при необходимости.
  • Поддержание связи: каждые 30 секунд отправляются «heartbeat»-сигналы с кодами ответа для координации действий с операторами; одновременно устанавливаются две обратные оболочки.
  • Скрытность: использование локальных прокси и выполнение в памяти затрудняют обнаружение инструментами, включая VirusTotal.

SnakeDisk: USB‑червь с целевым фокусом на Таиланд

SnakeDisk реализует методику, близкую к Toneshell9 по механизму выполнения и разрешению API:

  • Выполнение через DLL sideloading и загрузку в память.
  • Обнаружение подключенных USB‑накопителей и анализ на наличие уже имеющихся инфекций.
  • Самораспространение: при обнаружении уязвимых носителей запускает потоки для заражения USB‑дисков.
  • Удаление конкурирующего бэкдора: после инициализации SnakeDisk удаляет бэкдор Yokai, ранее использовавшийся в атаках на тайских чиновников.
  • Идентификация устройств: проверяет, являются ли накопители «hot‑pluggable», и принимает решение о заражении на основе наличия предыдущих версий вредоносного ПО.

Структура и тактика Hive0154

Hive0154 представляет собой сложный кластер с множеством подкластеров, которые совместно адаптируют различные методы в рамках целевых кампаний. Последовательность разработки — комбинирование средств запуска, загрузчиков и бэкдор‑компонентов — демонстрирует системный подход к созданию многоуровневых инструментов для длительного присутствия в сетях жертв.

Аналитики X‑Force подчёркивают необходимость усовершенствованных механизмов обнаружения и повышенной бдительности для противодействия таким сложным стратегиям вредоносного ПО.

Риски и практические рекомендации

Деятельность Hive0154 представляет серьёзную угрозу для организаций государственного и частного секторов, особенно на территории Юго‑Восточной Азии. Рекомендации по снижению риска включают:

  • Ограничение использования внешних носителей: политика контроля USB, отключение autorun и внедрение средств контроля устройств.
  • Мониторинг подозрительной активности DLL sideloading и исполнения из архивов (RAR, BAT).
  • Повышение уровня сетевого мониторинга: отслеживание аномалий в прокси‑конфигурациях и подозрительных C2‑подключениях.
  • Использование EDR/UEBA и сигнатурных/поведенческих правил (YARA) для выявления похожих образцов.
  • Обмен Threat Intelligence и оперативное реагирование на инциденты, включая анализ и изоляцию подозрительных хостов.

Вывод

Hive0154 (Mustang Panda) продолжает эволюцию инструментов и тактик, что повышает сложность обнаружения и реагирования. Наличие таких образцов, как Toneshell9 и SnakeDisk, подчёркивает необходимость комплексного подхода к безопасности: от профилактики и контроля USB‑устройств до активного мониторинга сетевого трафика и оперативного обмена информацией между организациями.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: