中国のスパイ活動に特化したAPT「Mustang Panda」が、アジアの標的に対する最近の攻撃でカーネルモードのルートキットを使用していたと、カスペルスキーが報告した。
Mustang Pandaは、Basin、Bronze President、Earth Preta、Red Deltaとしても知られ、カスペルスキーではHoneyMyteとして追跡されている。同グループは主に東アジアおよび欧州の政府機関や軍事組織を標的としている。
2025年初頭、米国およびフランス当局は、APTがPlugX RATに感染させた数千台のコンピューターのクリーンアップを試みた。
4月には、サイバーセキュリティ企業Zscalerが、更新版ToneShellバックドアの使用に加え、EDR回避ドライバーを含む複数の新ツールの利用について、Mustang Pandaの動向を詳述した。
今回、カスペルスキーは、2025年半ばに、このスパイ集団がミニフィルタードライバーとして登録される署名付きドライバーファイルを使用し、アジアの標的に対してToneShellバックドアを展開しているのが確認されたと述べている。
このドライバーには2つのユーザーモード・シェルコードが含まれており、別々のスレッドとして実行される。これらは、ドライバーのモジュールと、バックドアが注入されるユーザーモードプロセスを保護するよう設計されている。
「ドライバーモジュールの実際の挙動を難読化するため、攻撃者はハッシュ値から必要なAPIアドレスを動的に解決する手法を用いた」と、カスペルスキーは説明している。
自己防衛のため、このドライバーはFilter Managerに登録し、自身を標的とするすべての操作をチェックする事前処理コールバックを設定する。何らかの操作が検知されると、その操作を拒否するフラグを立て、セキュリティツールによる削除や隔離を防ぐ。
さらに、このドライバーはレジストリパスとパラメーター名のリストを作成し、自身に高度(altitude)値を割り当てたうえで、レジストリ操作を監視し、保護リスト内のキーを標的とする操作をブロックする。
選択された高度は、MicrosoftがFSFilter Anti-Virus Load Order Group向けに指定している範囲を超えていると、カスペルスキーは説明する。
「高度が低いフィルターほどI/Oスタックのより深い位置に配置されるため、この悪性ドライバーは、アンチウイルスコンポーネントのような正規の低高度フィルターより先にファイル操作を傍受でき、セキュリティチェックを回避できる」と、同社は説明している。
このドライバーは同様のルーチンを用いて、バックドアが注入されたユーザーモードプロセスを標的とする操作も傍受してブロックする。ただし、バックドアが活動を実行した後は、プロセスに対する保護を解除する。
カスペルスキーは、バックドアが2つのユーザーモードペイロードを配信していることを確認した。1つ目はsvchostプロセスを生成し、遅延を引き起こすシェルコードをそこに注入する。2つ目はToneShellバックドアで、生成されたsvchostプロセスに注入される。
「ToneShellがカーネルモードのローダーを介して配信されるのを確認したのは今回が初めてであり、ユーザーモード監視からの保護を得るとともに、活動をセキュリティツールから隠すドライバーのルートキット機能の恩恵を受けている」と、カスペルスキーは指摘している。
翻訳元: https://www.securityweek.com/chinese-apt-mustang-panda-caught-using-kernel-mode-rootkit/
