大きな発見として、Kaspersky Securelistのサイバーセキュリティ研究者は、東南アジアおよび東アジア全域の政府機関を標的とする新たなスパイ活動を確認しました。このキャンペーンは2025年2月に開始された可能性が高く、ルートキットを用いてコンピュータの中核深くに潜伏し、一般的なセキュリティツールから見えない状態にします。
Kasperskyは、この攻撃をHoneyMyte(別名Bronze PresidentまたはMustang Panda)として知られるグループに関連付けています。分析によれば、ハッカーはProjectConfiguration.sysという悪意のあるドライバーファイルを用い、ミャンマーとタイを特に標的にしています。
デジタルガードを回避
ご存じのとおり、多くのアンチウイルスプログラムは表層にある不審なファイルをスキャンします。しかし、この攻撃はドライバーがミニフィルターとして登録されるため検知できません。ミニフィルターは、システムのトラフィック制御の深部に位置する仕組みです。
正規に見せかけるため、ハッカーはGuangzhou Kingteller Technologyの盗難デジタル証明書(Serial: 08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F)を使用しました。これは2015年に失効しているものの、マルウェアが内部警告を回避するのに依然として役立ちます。
さらに痕跡を隠すため、このドライバーは動的解決を使用します。これは内部コードを攪乱し、セキュリティソフトが何をしているのかを容易に理解できないようにする手法です。さらに調査すると、このドライバーは非常にしぶといことが判明しました。アンチウイルスが削除やリネームを試みると、ドライバーがその操作をブロックします。さらに「altitude」設定を改ざんしてMicrosoft Defenderを「盲目化」します。これは基本的に、マルウェアがシステム内でアンチウイルスの「下」に位置し、セキュリティソフトがコマンドを見る前にそれらを横取りできるようにするものだと、ブログ投稿は説明しています。
ToneShellバックドア
この侵入の最終目的は、ToneShellバックドアとして知られるスパイツールを投下することです。これは秘密のゲートウェイとして機能し、ハッカーがファイルを窃取したり、データをダウンロードしたり、リモートコマンドを実行したりできるようにします。
注目すべき発見として、同グループは実際の攻撃が始まる数か月前の2024年9月に、NameCheapを通じて制御サーバー(avocadomechanism.comおよびpotherbreference.com)を登録していました。
研究者は「カーネルモードのローダーを介してToneShellが配布されるのを確認したのは今回が初めてだ」と述べ、これによりスパイツールが検知されにくい高い保護レベルを得ると説明しました。
攻撃中、ドライバーは2つのペイロードを配布します。まず、おとりとして機能する「ホスト」プロセス(svchost)を作成し、その後、そのプロセスにToneShellバックドアをインジェクトします。通信を秘匿するため、ToneShellは偽のTLS手法を用い、安全なTLS 1.3トラフィックの特徴を模倣します。
興味深いことに、被害者の多くはすでにToneDisk USBワームやPlugXなど、古いHoneyMyteツールに感染していました。このマルウェアはコンピュータのメモリ内だけで完全に動作し、シェルコードを使って自身のプロセスを保護するため、検知が非常に困難です。そのためKasperskyの研究者は、これらの偽装接続を捕捉するために、深いメモリ監査とネットワークトラフィックの慎重な監視を推奨しています。
翻訳元: https://hackread.com/honeymyte-mustang-panda-toneshell-backdoor/
