2025年9月15日Ravie Lakshmananマルウェア / ネットワークセキュリティ
Mustang Pandaとして知られる中国系の脅威アクターが、TONESHELLと呼ばれるバックドアの更新版と、これまで文書化されていなかったUSBワーム「SnakeDisk」を使用していることが確認されました。
「このワームはタイのIPアドレスを持つデバイスでのみ実行され、Yokaiバックドアをドロップします」と、IBM X-Forceの研究者Golo Mühr氏とJoshua Chung氏は、先週公開した分析で述べています。
このテック大手のサイバーセキュリティ部門は、このクラスターをHive0154という名前で追跡しており、BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoonとも広く呼ばれています。この国家支援型の脅威アクターは、少なくとも2012年から活動していると考えられています。
TONESHELLは、2022年11月にTrend Microによって初めて公に文書化され、ミャンマー、オーストラリア、フィリピン、日本、台湾を対象としたサイバー攻撃の一部として、5月から10月の間に観測されました。通常はDLLサイドローディングを通じて実行され、感染したホストに次の段階のペイロードをダウンロードするのが主な役割です。
典型的な攻撃チェーンでは、スピアフィッシングメールを利用して、PUBLOADやTONESHELLのようなマルウェアファミリーをドロップします。PUBLOADはTONESHELLと同様の機能を持ち、コマンド&コントロール(C2)サーバーからHTTP POSTリクエストを通じてシェルコードペイロードをダウンロードすることも可能です。
新たに特定されたTONESHELLのバリアントは、IBM X-ForceによってTONESHELL8およびTONESHELL9と名付けられており、企業ネットワークトラフィックに溶け込むためにローカルで設定されたプロキシサーバーを介したC2通信をサポートし、2つのアクティブなリバースシェルを並行して実行できます。また、マルウェアの機能内にOpenAIのChatGPTウェブサイトからコピーしたジャンクコードを組み込むことで、静的検知を回避し、解析を困難にしています。
また、DLLサイドローディングを利用して起動される新しいUSBワーム「SnakeDisk」も登場しており、これはTONEDISK(別名WispRider)と重複する部分があり、TONESHELLファミリーの別のUSBワームフレームワークです。主にホストに接続された新規および既存のUSBデバイスを検出し、拡散手段として利用されます。
具体的には、USB内の既存ファイルを新しいサブディレクトリに移動し、USBデバイスのボリューム名または「USB.exe」という名前を設定することで、被害者が新しいマシンで悪意のあるペイロードをクリックするように仕向けます。マルウェアが起動されると、ファイルは元の場所にコピーし戻されます。
このマルウェアの注目すべき点は、タイにジオロケーションされたパブリックIPアドレスでのみ実行されるようジオフェンスが施されていることです。SnakeDiskはまた、任意のコマンドを実行するためのリバースシェルを確立するバックドア「Yokai」をドロップする役割も果たします。これは2024年12月にNetskopeによって、タイの公務員を標的とした侵入で詳細が報告されています。
「Yokaiは、Hive0154に関連付けられる他のバックドアファミリー、例えばPUBLOAD/PUBSHELLやTONESHELLと重複する点が見られます」とIBMは述べています。「これらのファミリーは明確に別個のマルウェアですが、ほぼ同じ構造に従い、C2サーバーとのリバースシェル確立に似た手法を使用しています。」
SnakeDiskとYokaiの使用は、Mustang Panda内でタイに特化したサブグループの存在を示唆しており、同時にこの脅威アクターのツール群が進化・洗練され続けていることを強調しています。
「Hive0154は、複数のアクティブなサブクラスターと頻繁な開発サイクルを持つ非常に高い能力を持つ脅威アクターであり続けています」と同社は結論付けています。「このグループは、悪意のあるコードや攻撃時に使用される手法、標的において頻繁に重複が見られる、非常に大規模なマルウェアエコシステムを維持しているようです。」
翻訳元: https://thehackernews.com/2025/09/mustang-panda-deploys-snakedisk-usb.html