野马熊猫通过已签名的内核模式Rootkit驱动部署ToneShell

与中国有关的APT组织野马熊猫（又称Hive0154、HoneyMyte、Camaro Dragon、RedDelta或Bronze President）被观察到使用一个带有嵌入式shellcode的、已签名的内核模式Rootkit驱动程序来部署其ToneShell后门。

野马熊猫至少自2012年以来一直活跃，主要针对美国和欧洲的实体，如政府组织、智库、非政府组织，甚至梵蒂冈的天主教组织。

2025年中，卡巴斯基的研究人员在亚洲的系统中发现了一个恶意的内核驱动程序。该驱动程序使用被盗或泄露的证书进行签名，并作为迷你过滤器驱动程序安装。其目的是保护恶意组件并将后门注入系统进程。

“该驱动程序文件使用来自广州金泰尔科技有限公司的数字证书进行签名，序列号为08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F。该证书的有效期从2012年8月至2015年。“卡巴斯基发布的报告写道。

“我们发现了其他多个使用相同证书签名的恶意文件，它们与本文描述的攻击没有显示出任何关联。因此，我们认为其他威胁行为者也在使用该证书签署他们的恶意工具。”

最终的有效载荷是ToneShell后门的一个新变种，它支持远程访问和命令执行。ToneShell仅与野马熊猫APT组织关联。该活动针对东南亚和东亚的政府实体，特别是缅甸和泰国，攻击可能始于2025年2月。

这个名为ProjectConfiguration.sys的恶意驱动程序，将自身安装为内核迷你过滤器，并包含两个在独立线程中执行的用户模式shellcode。它使用哈希值动态解析Windows API以隐藏其行为，并将ToneShell后门注入系统进程。

驱动程序通过阻止文件删除或重命名尝试，以及通过注册的回调函数保护特定注册表键（返回访问被拒绝错误）来保护自身。它故意使用高过滤高度（high filter altitude）来在杀毒软件驱动程序之前拦截操作，甚至禁用了Microsoft Defender的WdFilter驱动。

“最后，该恶意软件篡改了分配给WdFilter（一个关键的Microsoft Defender驱动程序）的高度（altitude）。它找到包含驱动程序高度的注册表项，并将其更改为0，从而有效阻止WdFilter被加载到I/O堆栈中。“报告继续写道。

为了保护被注入的进程，它拦截句柄创建和复制操作，拒绝对受保护进程ID（PID）的访问。驱动程序生成一个svchost进程，注入一个延迟shellcode，然后注入最终的ToneShell有效载荷，并在执行完成前保持保护，之后清除痕迹并终止进程。

攻击的最后阶段部署ToneShell，这是首次观察到使用内核模式加载器来投递该后门。这种方法使恶意软件能够避开用户模式的监控，并利用Rootkit功能来规避安全工具。与早期使用GUID的变种不同，此版本通过一个标记文件（C:\ProgramData\MicrosoftOneDrive.tlb）创建或验证主机ID，如果不存在则生成一个伪随机标识符。ToneShell通过原始TCP端口443与C2服务器通信，使用伪造的TLS 1.3报头和加密的有效载荷来伪装流量。

它支持文件传输、远程shell访问、会话控制和命令执行，从而能够完全远程控制受感染系统。

“我们高度确信，本报告中描述的活动与HoneyMyte威胁行为者有关。这一结论得到了使用ToneShell后门作为最终阶段有效载荷的支持，以及在受影响的系统上存在其他长期与HoneyMyte关联的工具——如PlugX和ToneDisk USB蠕虫。“报告总结道。“由于shellcode完全在内存中执行，内存取证对于发现和分析此入侵变得至关重要。检测注入的shellcode是判断受感染主机上存在ToneShell的关键指标。”

9月，野马熊猫曾被发现在使用更新版的TONESHELL后门和一个先前未记录的名为SnakeDisk的USB蠕虫。