TokyoBlackHatNews

gbhackers.com 4分で読了

中国のハッカーがルートキットを展開し、ToneShellマルウェアを密かに隠蔽

カーネルモードのルートキット技術を活用した高度なサイバー諜報キャンペーンが発見され、東南アジアおよび東アジアの政府機関を標的としており、ミャンマーとタイが攻撃の主な被害を受けています。

セキュリティ研究者は特定したところ、ToneShellバックドアを配布する悪意あるドライバーを確認しました。ToneShellは、中国と関連するHoneyMyte APTグループの代表的なツールで、Mustang PandaまたはBronze Presidentとしても追跡されています。

研究者の評価では、このキャンペーンは2025年2月に開始したとみられ、HoneyMyteの運用上の手口における大きな進化を示しています。高度なルートキット機能を備えたカーネルモードローダーを通じてToneShellが展開された事例が観測されたのは、これが初めてです。

ProjectConfiguration.sysと名付けられた悪意あるドライバーは、Guangzhou Kingteller Technology Co., Ltd.に発行された盗難デジタル証明書で署名されており、有効期間は2012年8月から2015年までです。

この証明書にはシリアル番号 08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F が付与されており、無関係な他のマルウェアサンプルの署名にも使用されていることが確認されています。これは、複数の脅威アクターが侵害された認証情報へのアクセスを得ている可能性を示唆します。

侵害されたデジタル証明書。

テレメトリー分析により、ほぼすべての被害者が以前にToneDisk USBワーム、PlugX、そして過去のToneShell亜種を含む他のHoneyMyteツールに感染していたことが明らかになりました。これは、脅威アクターが既存の侵害を利用してルートキットを展開した可能性が高いことを示しています。

このキャンペーンのC2(コマンド&コントロール)インフラは、2024年9月にNameCheapのサービスを通じて登録され、avocadomechanism[.]com および potherbreference[.]com のドメインが使用されていました。

高度なルートキット機能

このドライバーはミニフィルターとして動作し、検知や解析を回避するために設計された包括的な保護メカニズムを備えています。

コールバックルーチンを登録してファイル操作を傍受し、FileDispositionInformationおよびFileRenameInformationを含む特定のFileInformationClass値に対してSTATUS_ACCESS_DENIEDを返すことで、削除や名前変更の試みをブロックします。

レジストリ保護はCmRegisterCallbackExによって実装されており、マルウェアは高度(altitude)値を330024から始まる値として動的に選択し、正規のセキュリティフィルターより上位に自らを配置します。

決定的なのは、このルートキットがMicrosoft DefenderのWdFilterドライバーを改ざんし、その高度をゼロに変更することで、I/Oスタックに読み込まれないよう実質的に阻止している点です。

インジェクションのワークフロー

プロセスレベルの保護ではObRegisterCallbacksを使用してハンドル操作を監視し、保護対象PIDとやり取りしようとするあらゆるプロセスからアクセス権を剥奪します。

これにより、ドライバー自体と、注入されたToneShellバックドアを含むsvchostプロセスの双方が、セキュリティツールやフォレンジック解析から保護されます。

ToneShellバックドアの進化

埋め込まれたToneShellペイロードは、従来の亜種からの顕著な進化を示しています。ホスト識別子として16バイトのGUIDを生成するのではなく、このバージョンでは4バイトのマーカーを使用し、C:\ProgramData\MicrosoftOneDrive.tlb に保存します。これは、コンピューター名やティックカウントなど、システム固有の値から導出されます。

通信は、生のTCPポート443上で行われ、以前のバージョンで使用されていたTLS 1.2のパターンではなく、偽のTLS 1.3ヘッダー(0x17 0x03 0x04)を用います。

このバックドアは、ファイルのアップロード/ダウンロード、パイプ経由のリモートシェルアクセス、そして0x1から0xDまでのコマンド構造によるセッション制御をサポートします。

研究者は、ToneShellが同グループにのみ関連付けられていること、ならびに侵害システム上でPlugXとToneDiskが同時に確認されていることから、この活動がHoneyMyteに結び付くと高い確度で評価しています。

シェルコードは完全にメモリ上で実行されるため、検知にはメモリフォレンジックが不可欠となります。

アジア各地の政府部門の組織は、ToneShellの存在を示す注入アーティファクトを特定するため、メモリ解析と振る舞い検知を優先すべきです。

翻訳元: https://gbhackers.com/toneshell-malware/

ソース: gbhackers.com
#C2インフラ #HoneyMyte #Microsoft Defender回避 #Mustang Panda #TONESHELL #カーネルモードルートキット #中国系APT #政府機関へのサイバー攻撃 #東南アジア #盗難デジタル証明書

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚