Mustang PandaがUSBワーム「SnakeDisk」を展開し、タイのIPアドレスにYokaiバックドアを拡散

9月16日：サイバーセキュリティ関連ニュース

Mustang PandaがUSBワーム「SnakeDisk」を展開し、タイのIPアドレスにYokaiバックドアを拡散

The Hacker News – Sep 15, 2025

IBMのサイバーセキュリティ部門IBM X-Forceが先週、Hive0154として追跡している中国系脅威アクターMustang Pandaに関する分析を発表し、TONESHELLバックドアのアップデート版に加え、これまで文書化されていないUSBワーム「SnakeDisk」を使って攻撃していることを明らかにした。

このワームはタイのIPアドレスを持つデバイスでのみ実行されることがわかっており、リバースシェルを構築して任意のコマンドの実行を可能にするYokaiバックドアを配布する。Mustang Pandaは遅くとも2012年に活動を開始した国家支援型アクターで、Hive0154のほかにもBASINやBronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoonなどの名称で知られている。

TONESHELLは2022年11月にトレンドマイクロが初めて文書化したバックドアだが、今回はTONESHELL8およびTONESHELL9と名付けられた新しい亜種が特定された。一方、SnakeDiskはこのバックドアと同じくDLLサイドローディングを介して起動される新たなUSBワームで、TONESHELLファミリーに属する別のUSBワームフレームワーク「TONEDISK」（別名WispRider）と共通点があり、ホストに接続された新規および既存のUSBデバイスを検出し、それを拡散手段として利用しているという。

IBMによると、YokaiにはPUBLOAD/PUBSHELLやTONESHELLなどHive0154（Mustang Panda）関連のバックドアファミリーと重複する点が見られるようだ。また、SnakeDiskとYokaiが使われていることは、タイでの活動に特化しているサブグループの存在だけでなく、Mustang Pandaの攻撃手段が継続的に進化・改良されていることを示唆していると記された。

不注意なエンジニアがリカバリコードを平文で保存し、組織のシステム全体が乗っ取られる

The Register – Mon 15 Sep 2025

セキュリティ企業Huntressは15日にブログを公開し、SonicWall VPN経由で侵入した攻撃者が同社製品のリカバリーコードを記したデスクトップ上の平文ファイルを使い、多要素認証（MFA）を回避したケースを取り上げた。

Akiraランサムウェアのアフィリエイトはこのアクセスを使い、被害者組織のエンドポイントセキュリティツールを無効化。認証情報を盗んで特権ユーザーになりすまし、侵害されたネットワークへの継続的なアクセスを維持するとともに、複数のコンピューターにランサムウェアを感染させたという。攻撃者はその後にエンジニアの認証情報を侵害し、被害者組織が使用している別のプラットフォームの少なくとも1件に侵入したようだ。

Huntressのセキュリティ運用アナリストによると、これらのリカバリコードはMFA回避とアカウントアクセスを回復するためのバックアップ手段として機能しており、「これが侵害された場合、攻撃者は事実上MFAを完全に回避し、正規ユーザーになりすますことができるようになる。また、Huntressコンソールへのフルアクセスを取得できるため、さらなる侵害や検知・対応機能の改ざんのリスクが大幅に高まる」と説明された。

同ブログでは、リカバリコードと認証情報を平文で保存しないことや、強力なパスフレーズと自動入力機能のない暗号化パスワードマネージャーの使用を推奨。パスワードマネージャーを使用できない場合は、これらのシークレットを暗号化されたUSBドライブまたはハードディスク上の、パスワードで保護された暗号化ファイルに保存するよう忠告している。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』