Старый конь борозды не испортит. Как сертификат десятилетней давности помог хакерам проникнуть в госучреждения Азии
NewsMakerСледы ведут к группировке Mustang Panda, которая радикально обновила свой киберарсенал.
Кибершпионаж с участием китайской группы HoneyMyte (она же Mustang Panda и Bronze President) вышел на новый уровень — специалисты зафиксировали применение усовершенствованной версии вредоносной программы ToneShell, замаскированной с помощью руткита на уровне ядра операционной системы. Эта техника позволила организовать скрытную доставку вредоносного кода и затруднить обнаружение активности на заражённых устройствах.
Согласно данным , собранным командой «Лаборатории Касперского», атаки были направлены на государственные учреждения в странах Азии, включая Мьянму и Таиланд. При этом анализ вредоносного драйвера ProjectConfiguration.sys показал, что активность ведётся не менее чем с февраля 2025 года. Установлено, что целевые системы ранее уже подвергались заражению другими программами, связанными с китайскими шпионскими кампаниями — более ранними версиями ToneShell, червём ToneDisk и вредоносом PlugX.
На этот раз используется минифильтр-драйвер, функционирующий в режиме ядра. Он подписан украденным либо утёкшим сертификатом, выданным в период с 2012 по 2015 год китайской компанией из Гуанчжоу. Такой драйвер встраивается в стек ввода-вывода Windows и позволяет перехватывать операции файловой системы. Благодаря этому он может препятствовать удалению самого себя или своим переименованиям, а также блокировать попытки доступа к ключам реестра, связанным с его службой. Повышенный приоритет по сравнению с антивирусными продуктами достигается за счёт выбора более высокого уровня минифильтра.
Для защиты вредоносной активности используется множество приёмов. Так, список идентификаторов процессов, в которые внедряется вредоносный код, находится под защитой: попытки получить к ним доступ отклоняются. После завершения работы вредоносных компонентов защита снимается. Кроме того, драйвер вмешивается в работу Microsoft Defender, не позволяя загрузить соответствующий модуль фильтрации в файловый стек.
Кибершпионаж с участием китайской группы HoneyMyte (она же Mustang Panda и Bronze President) вышел на новый уровень — специалисты зафиксировали применение усовершенствованной версии вредоносной программы ToneShell, замаскированной с помощью руткита на уровне ядра операционной системы. Эта техника позволила организовать скрытную доставку вредоносного кода и затруднить обнаружение активности на заражённых устройствах.
Согласно данным , собранным командой «Лаборатории Касперского», атаки были направлены на государственные учреждения в странах Азии, включая Мьянму и Таиланд. При этом анализ вредоносного драйвера ProjectConfiguration.sys показал, что активность ведётся не менее чем с февраля 2025 года. Установлено, что целевые системы ранее уже подвергались заражению другими программами, связанными с китайскими шпионскими кампаниями — более ранними версиями ToneShell, червём ToneDisk и вредоносом PlugX.
На этот раз используется минифильтр-драйвер, функционирующий в режиме ядра. Он подписан украденным либо утёкшим сертификатом, выданным в период с 2012 по 2015 год китайской компанией из Гуанчжоу. Такой драйвер встраивается в стек ввода-вывода Windows и позволяет перехватывать операции файловой системы. Благодаря этому он может препятствовать удалению самого себя или своим переименованиям, а также блокировать попытки доступа к ключам реестра, связанным с его службой. Повышенный приоритет по сравнению с антивирусными продуктами достигается за счёт выбора более высокого уровня минифильтра.
Для защиты вредоносной активности используется множество приёмов. Так, список идентификаторов процессов, в которые внедряется вредоносный код, находится под защитой: попытки получить к ним доступ отклоняются. После завершения работы вредоносных компонентов защита снимается. Кроме того, драйвер вмешивается в работу Microsoft Defender, не позволяя загрузить соответствующий модуль фильтрации в файловый стек.