TokyoBlackHatNews

bleepingcomputer.com 4分で読了

中国の国家支援ハッカー、ルートキットでToneShellマルウェアの活動を隠蔽

Image

中国のサイバー諜報キャンペーンで典型的に確認されるToneShellバックドアの新たなサンプルが、政府機関を標的とした攻撃でカーネルモードのローダーを介して配布されました。

このバックドアは、Mustang Pandaグループ(HoneyMyteまたはBronze Presidentとしても知られる)によるものとされています。同グループは通常、政府機関、NGO、シンクタンク、その他の著名な組織を世界中で標的にしています。

Kasperskyのセキュリティ研究者は、アジアのコンピュータシステムで見つかった悪意のあるファイルドライバを分析し、少なくとも2025年2月以降、ミャンマー、タイ、その他のアジア諸国の政府機関を標的としたキャンペーンで使用されてきたことを突き止めました。

証拠から、侵害された組織は、古いToneShell亜種、PlugXマルウェア、またはToneDisk USBワーム(いずれも国家支援の中国系ハッカーによるものとされる)に以前感染していたことが示されました。

新しいカーネルモード・ルートキット

Kasperskyによると、新しいToneShellバックドアはProjectConfiguration.sysというミニフィルタードライバによって展開され、2012年から2015年の間に有効で、Guangzhou Kingteller Technology Co., Ltd.に発行された盗難または漏えいした証明書で署名されていました。

ミニフィルターは、WindowsのファイルシステムI/Oスタックに組み込まれるカーネルモードドライバで、ファイル操作を検査、変更、またはブロックできます。セキュリティソフトウェア、暗号化ツール、バックアップユーティリティは、通常これらを使用します。

ProjectConfiguration.sysは.dataセクションに2つのユーザーモード・シェルコードを埋め込んでおり、それぞれが別個のユーザーモードスレッドとして実行され、ユーザーモードプロセスにインジェクトされます。

静的解析を回避するため、このドライバは関数を直接インポートするのではなく、ロード済みカーネルモジュールを列挙して関数ハッシュを照合することで、必要なカーネルAPIを実行時に解決します。

ミニフィルタードライバとして登録し、削除および名前変更に関連するファイルシステム操作を傍受します。こうした操作がドライバ自身を対象とする場合、要求を失敗させることでブロックします。

また、レジストリコールバックを登録してサービス関連のレジストリキーを保護し、それらの作成やオープンの試みを拒否します。セキュリティ製品より優先されるよう、アンチウイルス用に予約された範囲より上のミニフィルター高度(altitude)を選択します。

さらに、このルートキットはWdFilterドライバの設定を変更してI/Oスタックにロードされないようにすることで、Microsoft Defenderを妨害します。

インジェクトされたユーザーモードのペイロードを保護するため、ドライバは保護対象プロセスIDのリストを維持し、ペイロード実行中はそれらのプロセスへのハンドルアクセスを拒否し、実行完了後に保護を解除します。

「ToneShellがカーネルモードのローダー経由で配布されるのを確認したのは今回が初めてで、ユーザーモード監視からの保護を得るとともに、ドライバのルートキット機能によりセキュリティツールから活動を隠蔽できるようになっています」と、Kasperskyは述べています

Image
最新のMustang Panda攻撃の概要
出典: Kaspersky

新しいToneShell亜種

Kasperskyが分析したToneShellバックドアの新亜種には、変更点とステルス強化が含まれています。マルウェアは、従来使用していた16バイトのGUIDではなく、4バイトのホストIDマーカーに基づく新しいホスト識別方式を採用し、偽のTLSヘッダーによるネットワークトラフィックの難読化も適用しています。

対応するリモート操作の観点では、バックドアは現在、次のコマンドをサポートしています:

  • 0x1 — 受信データ用の一時ファイルを作成
  • 0x2 / 0x3 — ファイルをダウンロード
  • 0x4 — ダウンロードをキャンセル
  • 0x7 — パイプ経由でリモートシェルを確立
  • 0x8 — オペレーターのコマンドを受信
  • 0x9 — シェルを終了
  • 0xA / 0xB — ファイルをアップロード
  • 0xC — アップロードをキャンセル
  • 0xD — 接続を閉じる

Kasperskyは、新しいカーネルモード・インジェクターに支えられたToneShell感染を明らかにするうえで、メモリ・フォレンジックが重要だと助言しています。

研究者らは、新しいToneShellバックドアのサンプルをMustang Pandaのサイバー諜報グループに帰属させることに高い確信を持っています。また、脅威アクターが作戦上のステルス性と耐性を得るために、戦術・技術・手順(TTP)を進化させたと評価しています。

同サイバーセキュリティ企業はレポート内で、組織がMustang Pandaの侵入を検知し防御するのに役立つ侵害指標(IoC)の短いリストを提供しています。

翻訳元: https://www.bleepingcomputer.com/news/security/chinese-state-hackers-use-rootkit-to-hide-toneshell-malware-activity/

ソース: bleepingcomputer.com
#Kaspersky調査 #Microsoft Defender回避 #Mustang Panda #TONESHELL #Windowsドライバー #カーネルモード #サイバー諜報 #ルートキット #中国系APT #政府機関への攻撃

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用