- Mustang Pandaがアジアの政府組織に対し、改良版ToneShellバックドアを展開
- 新亜種は署名付きミニフィルタードライバーを使用し、ルートキットのような秘匿性とDefender改ざんを可能に
- Kasperskyは、侵害されたシステムでの感染検知にメモリフォレンジックとIoCの活用を推奨
Mustang Pandaとして知られる中国の国家支援型脅威アクターが、ToneShellバックドアの改良版を用いて、アジア各国の政府組織を標的にしていることが確認された。
これはサイバーセキュリティ研究者のKasperskyによるもので、同社は最近、ミャンマーやタイなどの政府組織に属するコンピューター上で見つかった悪意あるファイルドライバーを分析した。
このドライバーの解析によりToneShellの存在が判明した。ToneShellは、侵害されたデバイスへの無制限のアクセスを攻撃者に与えるバックドアで、ファイルのアップロード/ダウンロード、新規ドキュメントの作成などが可能になる。
ミニフィルターとカーネルモードドライバー
Kasperskyによれば、新亜種には改良が加えられており、パイプ経由でのリモートシェル確立、シェルの終了、アップロードのキャンセル、接続のクローズ、受信データ用の一時ファイル作成などが可能になっている。
ToneShellは一般にサイバー諜報キャンペーンで使用される。被害端末はPlugXやToneDisk USBワームなど、他のマルウェアにも感染していたとみられる。このキャンペーンは2025年2月に開始された可能性が高いと研究者らは推測している。
しかし、このキャンペーンを際立たせているのは、盗難または漏えいした証明書で署名されたミニフィルタードライバーの使用だ。
「ToneShellがカーネルモードローダーを通じて配布されるのを確認したのは今回が初めてであり、ユーザーモード監視から保護されるとともに、活動をセキュリティツールから隠すドライバーのルートキット機能の恩恵を受けている」とKasperskyは述べた。
ミニフィルターは、Windowsのファイルシステムスタック内に配置され、ファイルシステム操作をリアルタイムで傍受するカーネルモードドライバーである。ディスクに到達する前に、ソフトウェアがファイル活動を確認、ブロック、変更、または記録できるようにし、MicrosoftのFile System Filter Managerフレームワークの一部となっている。
とりわけ、攻撃者はこれらを用いてMicrosoft Defenderを改ざんし、I/Oスタックに読み込まれないようにできる。
新たな攻撃への防御策として、研究者らはToneShell感染を見つける最優先の方法としてメモリフォレンジックを推奨している。また、システムが攻撃を受けたかどうかを判断するために利用できる侵害指標(IoC)の一覧も共有した。
