- Mustang Panda implantou portas traseiras ToneShell atualizadas contra órgãos governamentais asiáticos
- A nova variante usa um driver de minifiltro assinado, permitindo furtividade semelhante a rootkit e manipulação do Defender
- Kaspersky recomenda análise forense de memória e IoCs para detectar infecções em sistemas comprometidos
Um ator de ameaça patrocinado pelo Estado chinês, conhecido como Mustang Panda, foi flagrado atacando organizações governamentais em vários países asiáticos com uma versão atualizada do backdoor ToneShell.
Isso é de acordo com pesquisadores de segurança cibernética da Kaspersky, que analisaram recentemente um gerenciador de arquivos malicioso encontrado em computadores em Mianmar, na Tailândia e em várias outras organizações governamentais.
A iniciativa levou à descoberta do ToneShell, um backdoor que dá aos invasores acesso a dispositivos vulneráveis por meio dos quais podem fazer upload e download de arquivos, criar novos documentos e muito mais.
Minifiltros e drivers de modo kernel
A nova variante trouxe melhorias, acrescentou Kaspersky, incluindo estabelecer um shell remoto por meio de um pipe, encerrar o shell, cancelar uploads, fechar conexões, criar arquivos temporários para dados recebidos e muito mais.
O ToneShell é geralmente usado para campanhas de espionagem cibernética. Os computadores das vítimas também foram aparentemente infectados com outros malwares, incluindo PlugX e o worm ToneDisk USB. A campanha provavelmente começou em fevereiro de 2025, especulam os pesquisadores.
Mas o que realmente destaca esta campanha é o uso de um driver de minifiltro que foi assinado com um certificado roubado ou vazado.
“Esta é a primeira vez que vemos o ToneShell entregue através de um carregador de modo kernel, protegido do monitoramento do modo de usuário e usando os recursos de rootkit do driver para ocultar sua atividade das ferramentas de segurança”, disse Kaspersky.
Minifiltros são drivers semelhantes ao kernel que ficam dentro da pilha do sistema de arquivos do Windows e interceptam as operações do sistema de arquivos em tempo real. Eles permitem que o software veja, bloqueie, modifique ou registre a atividade do arquivo antes que ele chegue ao disco e faz parte da estrutura do File System Filter Manager da Microsoft.
Entre outras coisas, eles permitem que invasores manipulem o Microsoft Defender, garantindo que a E/S não seja carregada na pilha.
Para se defender contra novos ataques, os pesquisadores aconselham a análise forense da memória como a primeira forma de detectar infecções do ToneShell. Eles também compartilharam uma lista de indicadores de comprometimento (IoC), que podem ser usados para determinar se um sistema foi comprometido.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
