吳明宜資安大廠卡巴斯基 (Kaspersky) 近期揭露,中國國家級駭客組織 Mustang Panda 正利用經過簽署的核心模式 (kernel-mode)Rootkit 驅動程式及 Shellcode,在受害系統上部署 ToneShell 後門程式。
Mustang Panda 又被稱為 Hive0154 、 HoneyMyte 、 Camaro Dragon 、 RedDelta 或 Bronze President,該組織自 2012 年崛起,攻擊足跡遍及美歐政府單位、智庫、 NGO 甚至梵諦岡天主教組織,但其主要目標長期鎖定亞洲國家,包括台灣、香港、蒙古、西藏和緬甸。
本文目錄
濫用合法憑證,繞過安全偵測
2025 年中,卡巴斯基在亞洲客戶的系統上,發現一隻利用遭竊或外流憑證簽發成 Mini-filter(檔案系統篩選驅動程式)的惡意驅動程式。其目的在於保護惡意元件,並將後門程式注入系統行程 (Process) 中。
經調查,該憑證來自廣州御銀科技 (Kingteller Technology),有效期間為 2012 年 8 月至 2025 年。卡巴斯基同時發現其他惡意檔案也使用同一憑證簽發,因此研判可能有其他駭客組織共用了這個憑證。
ProjectConfiguration.sys:具備自我保護的惡意驅動程式
由 Mustang Panda 簽發的惡意驅動程式名為 ProjectConfiguration.sys,可自行植入核心成為 Minifilter,內部包含兩個個別執行的使用者模式 (user-mode) Shellcode 。該驅動程式能利用雜湊值動態解析 Windows API 以隱藏其行為。
研究人員發現,這隻驅動程式具備高度自我保護能力,能防範檔案遭刪除或重新命名,或利用註冊回呼 (Callback) 、回傳存取被拒 (Access-denied) 錯誤訊息等手法保護機碼。它甚至能使用較高的過濾器高度 (Filter Altitude),在防護軟體的驅動程式啟動前攔截運作,甚至強制關閉 Microsoft Defender WdFilter(Windows 中的 Minifilter)。
核心級下載器首度現蹤,鎖定東南亞政府
駭客的最終目的是將 ToneShell 後門程式的變種植入系統行程,讓攻擊者能遠端存取並執行程式碼。 ToneShell 過去僅由 Mustang Panda APT 組織使用,這也成為卡巴斯基追查的關鍵線索。此波攻擊可能始於今年二月,主要鎖定東南亞及東亞的政府單位,尤其是緬甸和泰國。
研究人員指出,這是首度發現 Mustang Panda 利用核心模式下載器 (Loader) 來部署 ToneShell 。此手法可防止使用者模式的安全工具偵測到惡意程式,並利用 Rootkit 技術躲避查殺。不同於過去使用 GUID 的變種,新版本利用標記檔 (Marker File) 建立或驗證主機 ID,或是建立隨機識別碼。
ToneShell 會從 443 連接埠以 TCP 連線與 C2 伺服器聯繫,並偽造 TLS 1.3 標頭及加密酬載來掩護流量。此後門程式支援檔案傳輸、遠端 Shell 指令存取、工作階段 (Session) 控制及指令執行,使攻擊者得以完全控制受害系統。
此外,九月份亦有研究人員發現 Mustang Panda 使用更新版 ToneShell 後門程式,以及之前未見過的 USB 蠕蟲程式 SnakeDisk,攻擊泰國政府或軍方組織的硬碟。分析指出,本次攻擊可能與泰國及柬埔寨的地緣政治衝突有關。
來源: SecurityAffairs