📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaças alinhado à China, conhecido como Mustang Panda, foi observado usando uma versão atualizada de um backdoor chamado ToNeshell e um worm USB previamente indocumentado chamado Snakedisk.
"O worm é executado apenas em dispositivos com endereços IP baseados na Tailândia e solta o backdoor Yokai", disse Golo Mühr, pesquisadores da IBM X-Force, e Joshua Chung em uma análise publicada na semana passada.
A divisão de segurança cibernética da gigante da tecnologia está rastreando o cluster sob o nome Hive0154, que também é amplamente chamado de bacia, presidente de bronze, Camaro Dragon, Earth Preta, Honeymyte, Polaris, Reddelta, Touro imponente e TIPHOON. Acredita-se que o ator de ameaças patrocinado pelo Estado esteja ativo desde pelo menos 2012.
Toneshell foi documentado publicamente pela Trend Micro, em novembro de 2022, como parte de ataques cibernéticos visando Mianmar, Austrália, Filipinas, Japão e Taiwan entre maio e outubro. Normalmente executado via carregamento lateral da DLL, sua principal responsabilidade é baixar as cargas úteis no próximo estágio no host infectado.
As cadeias de ataques típicas envolvem o uso de e-mails de phishing de lança para soltar famílias de malware como Publhoad ou Toneshell. O PublOAD, que também funciona de maneira semelhante a ToNeshell, também é capaz de baixar cargas úteis do Code Sells via solicitações de postagem HTTP de um servidor de comando e controle (C2).
As variantes de ToNeshell recém-identificadas, denominadas ToNeshell8 e ToneShell9 da IBM X-Force, suportam a comunicação C2 por meio de servidores proxy configurados localmente para se misturar com o tráfego de rede corporativo e facilitar duas conchas reversas ativas em paralelo. Ele também incorpora código de lixo copiado do site ChatGPT da OpenAI nas funções do malware para evitar a detecção estática e resistir à análise.
Também é lançado usando o carregamento lateral da DLL, um novo worm USB chamado Snakedisk que compartilha se sobrepõe ao Tonedisk (também conhecido como Wisprider), outra estrutura USB Worm sob a família Toneshell. É usado principalmente para detectar dispositivos USB novos e existentes conectados ao host, usando -o como um meio de propagação.
Especificamente, ele move os arquivos existentes no USB para um novo subdiretório, enganando efetivamente a vítima para clicar na carga útil maliciosa em uma nova máquina, definindo seu nome para o nome de volume do dispositivo USB, ou "USB.exe". Depois que o malware é iniciado, os arquivos são copiados de volta ao seu local original.
Um aspecto notável do malware é que ele é geooferado para executar apenas em endereços IP públicos geolocados na Tailândia. Snakedisk também serve como um canal para soltar Yokai, um backdoor que configura um shell reverso para executar comandos arbitrários. Foi anteriormente detalhado pelo Netskope em dezembro de 2024 em intrusões direcionadas a autoridades tailandesas.
"Os shows de Yokai se sobrepõem a outras famílias de backdoor atribuídas ao Hive0154, como Publhoad/Pubshell e Toneshell", disse IBM. "Embora essas famílias sejam claramente peças de malware separadas, elas seguem aproximadamente a mesma estrutura e usam técnicas semelhantes para estabelecer uma concha reversa com seu servidor C2".
O uso de Snakedisk e Yokai provavelmente aponta para um subgrupo dentro do Mustang Panda que se concentra na Tailândia, além de destacar a evolução contínua e o refinamento do arsenal do ator de ameaças.
"O Hive0154 continua sendo um ator de ameaças altamente capaz, com vários subclusters ativos e ciclos de desenvolvimento frequentes", concluiu a empresa. "Este grupo parece manter um ecossistema consideravelmente grande de malware com sobreposições frequentes em ambos os códigos maliciosos, técnicas usadas durante ataques, além de segmentação".
"O worm é executado apenas em dispositivos com endereços IP baseados na Tailândia e solta o backdoor Yokai", disse Golo Mühr, pesquisadores da IBM X-Force, e Joshua Chung em uma análise publicada na semana passada.
A divisão de segurança cibernética da gigante da tecnologia está rastreando o cluster sob o nome Hive0154, que também é amplamente chamado de bacia, presidente de bronze, Camaro Dragon, Earth Preta, Honeymyte, Polaris, Reddelta, Touro imponente e TIPHOON. Acredita-se que o ator de ameaças patrocinado pelo Estado esteja ativo desde pelo menos 2012.
Toneshell foi documentado publicamente pela Trend Micro, em novembro de 2022, como parte de ataques cibernéticos visando Mianmar, Austrália, Filipinas, Japão e Taiwan entre maio e outubro. Normalmente executado via carregamento lateral da DLL, sua principal responsabilidade é baixar as cargas úteis no próximo estágio no host infectado.
As cadeias de ataques típicas envolvem o uso de e-mails de phishing de lança para soltar famílias de malware como Publhoad ou Toneshell. O PublOAD, que também funciona de maneira semelhante a ToNeshell, também é capaz de baixar cargas úteis do Code Sells via solicitações de postagem HTTP de um servidor de comando e controle (C2).
As variantes de ToNeshell recém-identificadas, denominadas ToNeshell8 e ToneShell9 da IBM X-Force, suportam a comunicação C2 por meio de servidores proxy configurados localmente para se misturar com o tráfego de rede corporativo e facilitar duas conchas reversas ativas em paralelo. Ele também incorpora código de lixo copiado do site ChatGPT da OpenAI nas funções do malware para evitar a detecção estática e resistir à análise.
Também é lançado usando o carregamento lateral da DLL, um novo worm USB chamado Snakedisk que compartilha se sobrepõe ao Tonedisk (também conhecido como Wisprider), outra estrutura USB Worm sob a família Toneshell. É usado principalmente para detectar dispositivos USB novos e existentes conectados ao host, usando -o como um meio de propagação.
Especificamente, ele move os arquivos existentes no USB para um novo subdiretório, enganando efetivamente a vítima para clicar na carga útil maliciosa em uma nova máquina, definindo seu nome para o nome de volume do dispositivo USB, ou "USB.exe". Depois que o malware é iniciado, os arquivos são copiados de volta ao seu local original.
Um aspecto notável do malware é que ele é geooferado para executar apenas em endereços IP públicos geolocados na Tailândia. Snakedisk também serve como um canal para soltar Yokai, um backdoor que configura um shell reverso para executar comandos arbitrários. Foi anteriormente detalhado pelo Netskope em dezembro de 2024 em intrusões direcionadas a autoridades tailandesas.
"Os shows de Yokai se sobrepõem a outras famílias de backdoor atribuídas ao Hive0154, como Publhoad/Pubshell e Toneshell", disse IBM. "Embora essas famílias sejam claramente peças de malware separadas, elas seguem aproximadamente a mesma estrutura e usam técnicas semelhantes para estabelecer uma concha reversa com seu servidor C2".
O uso de Snakedisk e Yokai provavelmente aponta para um subgrupo dentro do Mustang Panda que se concentra na Tailândia, além de destacar a evolução contínua e o refinamento do arsenal do ator de ameaças.
"O Hive0154 continua sendo um ator de ameaças altamente capaz, com vários subclusters ativos e ciclos de desenvolvimento frequentes", concluiu a empresa. "Este grupo parece manter um ecossistema consideravelmente grande de malware com sobreposições frequentes em ambos os códigos maliciosos, técnicas usadas durante ataques, além de segmentação".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #mustang #panda #implanta #snakedisk #usb #worm #para #entregar #yokai #backdoor #na #tailândia #ips
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário