详细内容或原文请订阅后点击阅览
Mustang Panda 通过签名的内核模式 rootkit 驱动程序部署 ToneShell
与中国相关的 APT Mustang Panda 使用签名的内核模式 rootkit 驱动程序加载 shellcode 并部署其 ToneShell 后门。据观察,与中国有关的 APT Mustang Panda(又名 Hive0154、HoneyMyte、Camaro Dragon、RedDelta 或 Bronze President)使用带有嵌入式 shellcode 的签名内核模式 rootkit 驱动程序来部署其 ToneShell 后门。 Mustang Panda 至少自 2012 年以来一直活跃,目标是美国和欧洲实体,例如 [...]
来源:Security Affairs _恶意软件Mustang Panda 通过签名的内核模式 rootkit 驱动程序部署 ToneShell
与中国相关的 APT Mustang Panda 使用签名的内核模式 rootkit 驱动程序加载 shellcode 并部署其 ToneShell 后门。
观察到与中国相关的 APT Mustang Panda(又名 Hive0154、HoneyMyte、Camaro Dragon、RedDelta 或 Bronze President)使用带有嵌入式 shellcode 的签名内核模式 rootkit 驱动程序来部署其 ToneShell 后门。
Mustang Panda 至少从 2012 年起就一直活跃,目标是美国和欧洲实体,例如政府组织、智囊团、非政府组织,甚至梵蒂冈的天主教组织。
2025 年中期,卡巴斯基研究人员在亚洲的系统上发现了一个恶意内核驱动程序,该驱动程序使用被盗或泄露的证书进行签名,并作为微型过滤器驱动程序安装。其目的是保护恶意组件并向系统进程注入后门。
“该驱动文件由广州金泰乐科技有限公司数字证书签名,序列号为08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F。证书有效期为2012年8月至2015年。”阅读卡巴斯基发布的报告。
“我们发现多个使用同一证书签名的其他恶意文件,这些文件与本文中描述的攻击没有任何联系。因此,我们相信其他威胁行为者也一直在使用它来签署他们的恶意工具。”
最终的有效负载是 ToneShell 后门的新变体,可实现远程访问和命令执行。 ToneShell 专门链接到 Mustang Panda APT。该活动针对东南亚和东亚的政府实体,特别是缅甸和泰国,攻击可能从 2025 年 2 月开始。
“最后,恶意软件篡改了分配给 WdFilter(一个关键的 Microsoft Defender 驱动程序)的高度。它找到包含驱动程序高度的注册表项并将其更改为 0,从而有效阻止 WdFilter 加载到 I/O 堆栈中。”报告继续。
皮尔路易吉·帕格尼尼