Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Кинески државни хакери користат rootkit за сокривање на активноста на малициозниот софтвер ToneShell

Објавено: 30.12.2025

Нов примерок на backdoor-от ToneShell, кој обично се среќава во кинески сајбер-шпионажни кампањи, е испорачан преку kernel-mode loader во напади насочени кон владини организации.

Backdoor-от му се припишува на групата Mustang Panda, позната и како HoneyMyte или Bronze President, која вообичаено таргетира владини агенции, невладини организации, тинк-тенкови и други високопрофилни организации ширум светот.

Безбедносните истражувачи од Kaspersky анализирале малициозен драјвер пронајден на компјутерски системи во Азија и откриле дека тој се користел во кампањи уште од февруари 2025 година против владини организации во Мјанмар, Тајланд и други азиски земји. Доказите покажале дека компромитираните субјекти претходно биле заразени со постари варијанти на ToneShell, малициозниот софтвер PlugX или USB-црвот ToneDisk, кои исто така се припишуваат на државно поддржани кинески хакери.

Нов kernel-mode rootkit

Според Kaspersky, новиот ToneShell backdoor бил распоредуван преку mini-filter драјвер со име ProjectConfiguration.sys, потпишан со украден или протечен дигитален сертификат валиден во периодот од 2012 до 2015 година, издаден на компанијата Guangzhou Kingteller Technology Co., Ltd.

Mini-filter драјверите се kernel-mode драјвери кои се приклучуваат на Windows I/O стекот на датотечниот систем и можат да ги проверуваат, менуваат или блокираат операциите со датотеки. Вообичаено ги користат безбедносен софтвер, алатки за енкрипција и програми за бекап.

ProjectConfiguration.sys содржи две user-mode shellcode-и во својата .data секција, при што секоја се извршува како посебна user-mode нишка што се инјектира во user-mode процеси.

За да избегне статичка анализа, драјверот ги разрешува потребните kernel API-ја во текот на извршувањето, преку набројување на вчитаните kernel модули и споредување на хешови на функции, наместо директно да ги увезува функциите.

Тој се регистрира како mini-filter драјвер и ги пресретнува операциите на датотечниот систем поврзани со бришење и преименување. Кога таквите операции се насочени кон самиот драјвер, тие се блокираат со принудно неуспешно извршување на барањето.

Драјверот ги заштитува и registry клучевите поврзани со неговата услуга, со регистрирање registry callback и одбивање обиди за нивно креирање или отворање. За да обезбеди приоритет над безбедносните производи, тој избира mini-filter altitude повисок од опсегот резервиран за антивируси.

Дополнително, rootkit-от се меша во работата на Microsoft Defender преку измена на конфигурацијата на WdFilter драјверот, со што се спречува негово вчитување во I/O стекот.

За да ги заштити инјектираните user-mode payload-и, драјверот одржува листа на заштитени process ID-ја, одбива пристап до handles за тие процеси додека payload-ите се извршуваат и ја отстранува заштитата по завршување на извршувањето.

„Ова е првпат да видиме ToneShell испорачан преку kernel-mode loader, што му обезбедува заштита од user-mode надзор и му овозможува да ги искористи rootkit способностите на драјверот за сокривање на својата активност од безбедносните алатки,“ изјавија од Kaspersky.

Преглед на најновиот напад на Mustang Panda

Нова варијанта на ToneShell

Новата варијанта на backdoor-от ToneShell што ја анализираше Kaspersky содржи промени и подобрувања за прикривање. Малициозниот софтвер сега користи нова шема за идентификација на хост, базирана на 4-бајтен host ID маркер, наместо претходно користениот 16-бајтен GUID, а исто така применува и обфускација на мрежниот сообраќај со лажни TLS заглавија.

Во однос на поддржаните далечински операции, backdoor-от сега ги поддржува следните команди:

  • 0x1 — Креирање привремена датотека за влезни податоци
  • 0x2 / 0x3 — Преземање датотека
  • 0x4 — Откажување преземање
  • 0x7 — Воспоставување далечинска школка (remote shell) преку pipe
  • 0x8 — Прием на команда од операторот
  • 0x9 — Прекинување на школката
  • 0xA / 0xB — Прикачување (upload) датотека
  • 0xC — Откажување прикачување
  • 0xD — Затворање на конекцијата

Kaspersky советува дека мемориска форензика е клучна за откривање инфекции со ToneShell кои се поддржани од новиот kernel-mode инјектор.

Истражувачите имаат високо ниво на доверба дека новиот примерок на ToneShell backdoor-от може да му се припише на сајбер-шпионажната група Mustang Panda. Тие оценуваат дека заканувачкиот актер ги има еволуирано своите тактики, техники и процедури со цел да постигне поголема оперативна прикриеност и отпорност.

Компанијата за сајбер-безбедност во својот извештај обезбедува и кратка листа на индикатори на компромитација (IoC-ја) за да им помогне на организациите да ги детектираат упадите на Mustang Panda и да се заштитат од нив.

Извори:

  • Bleeping Computer – Chinese state hackers use rootkit to hide ToneShell malware activity Bleeping Computer