هاكرز صينيون يستخدمون Rootkit لإخفاء نشاط برمجية التجسس ToneShell

كشف خبراء الأمن السيبراني في شركة كاسبرسكي عن نسخة جديدة من البرمجية الخبيثة ToneShell، المرتبطة بحملات التجسس الإلكتروني الصينية، والتي تُستهدف عادةً الوكالات الحكومية والمنظمات غير الحكومية ومراكز الفكر حول العالم.

وتم نشر هذه النسخة عبر Kernel-mode loader يُعرف باسم ProjectConfiguration.sys، وهو برنامج صغير على مستوى نواة النظام، مزود بشهادة مسروقة أو مسربة صالحة بين 2012 و2015، صادرة لشركة Guangzhou.

هذه الطريقة تمنح ToneShell حماية إضافية من المراقبة على مستوى المستخدم، مع الاستفادة من قدرات الـ Rootkit لإخفاء نشاطها عن أدوات الأمن، بحسب تقرير نشره موقع "bleepingcomputer" واطلعت عليه "العربية Business".

التهديد والتطورات التقنية

Mini-filter driver مثل ProjectConfiguration.sys يندمج في نظام ملفات ويندوز لتمكينه من فحص أو تعديل أو حظر العمليات المتعلقة بالملفات. البرمجية الخبيثة تستخدم شيفرات مخفية تُحقن في عمليات المستخدم، وتُخفف من احتمالية الكشف عبر تحليل الشيفرة الثابتة، كما تعرقل وظائف برامج الحماية مثل Microsoft Defender عبر تعديل تكوين برنامج WdFilter.

بالإضافة إلى ذلك، يقوم Rootkit بحماية العمليات التي يتم حقن الشيفرات فيها، منع الوصول إلى معرفات العمليات أثناء التنفيذ، وإزالة الحماية بعد انتهاء المهمة، ما يجعل اكتشاف ToneShell أمرًا صعبًا للغاية.

نسخة ToneShell الجديدة

تشمل النسخة الجديدة تغييرات وتحسينات على مستوى التخفي، منها:

- استخدام معرف مضيف من 4 بايت بدلًا من GUID القديم المكون من 16 بايت.

- تشويش حركة الشبكة عبر رؤوس TLS مزيفة.

- دعم مجموعة من أوامر التحكم عن بعد مثل تحميل وتنزيل الملفات، فتح وإغلاق الصدفة عن بعد، وتنفيذ أوامر المشغل.

وتوصي "كاسبرسكي" باستخدام تحليلات الذاكرة لاكتشاف الإصابات بالنسخة الجديدة، مع تقديم قائمة قصيرة بمؤشرات الاختراق (IoCs) لمساعدة المؤسسات في التعرف على محاولات التسلل وحماية أنظمتها.

خلفية المجموعة المسؤولة

تُعزى هذه الهجمات إلى مجموعة Mustang Panda، المعروفة أيضًا باسم HoneyMyte أو Bronze President، والتي تطورت أساليبها وطرقها التقنية لتعزيز التخفي والمرونة التشغيلية في حملات التجسس السيبراني.

تستهدف المجموعة عادة الجهات الحكومية والمنظمات الدولية عالية المستوى، مع التركيز على القارة الآسيوية في حملاتها الأخيرة، مثل ميانمار وتايلاند ودول أخرى.