- Mustang Panda mengerahkan pintu belakang ToneShell yang ditingkatkan untuk melawan organisasi pemerintah Asia
- Varian baru menggunakan driver mini-filter yang ditandatangani, memungkinkan stealth seperti rootkit dan gangguan Defender
- Kaspersky menyarankan forensik memori dan IoC untuk mendeteksi infeksi pada sistem yang disusupi
Pelaku ancaman yang disponsori negara Tiongkok, yang dikenal sebagai Mustang Panda, telah diamati menargetkan organisasi pemerintah di berbagai negara Asia dengan versi pintu belakang ToneShell yang ditingkatkan.
Hal ini menurut peneliti keamanan siber Kaspersky, yang baru-baru ini menganalisis driver file berbahaya yang mereka temukan di komputer milik organisasi pemerintah di Myanmar, Thailand, dan lainnya.
Hal ini menyebabkan ditemukannya ToneShell, sebuah pintu belakang yang memberi penyerang akses terus-menerus ke perangkat yang disusupi, yang melaluinya mereka dapat mengunggah dan mengunduh file, membuat dokumen baru, dan banyak lagi.
Filter mini dan driver mode kernel
Varian baru ini hadir dengan perbaikan, tambah Kaspersky, termasuk membuat shell jarak jauh melalui pipa, mengakhiri shell, membatalkan unggahan, menutup koneksi, membuat file sementara untuk data yang masuk, dan banyak lagi.
ToneShell umumnya digunakan untuk kampanye spionase dunia maya. Komputer korban ternyata juga terinfeksi lainnya perangkat lunak perusakjuga, termasuk PlugX, dan worm USB ToneDisk. Kampanye tersebut kemungkinan besar dimulai pada Februari 2025, para peneliti berspekulasi.
Namun yang membuat kampanye ini menonjol adalah penggunaan driver filter mini yang ditandatangani dengan sertifikat curian atau bocor.
“Ini adalah pertama kalinya kami melihat ToneShell dikirimkan melalui pemuat mode kernel, memberikannya perlindungan dari pemantauan mode pengguna dan memanfaatkan kemampuan rootkit driver yang menyembunyikan aktivitasnya dari alat keamanan,” kata Kaspersky.
Filter mini adalah driver mode kernel yang berada di dalam tumpukan sistem file Windows dan mencegat operasi sistem file secara real time. Mereka membiarkan perangkat lunak melihat, memblokir, memodifikasi, atau mencatat aktivitas file sebelum mencapai disk, dan menjadi bagian darinya Microsoftkerangka Manajer Filter Sistem File.
Antara lain, mereka membiarkan penyerang mengutak-atik Microsoft Defender, memastikan Microsoft Defender tidak dimuat ke dalam tumpukan I/O.
Untuk bertahan dari serangan baru, para peneliti menyarankan forensik memori sebagai cara nomor satu untuk mendeteksi infeksi ToneShell. Mereka juga membagikan daftar indikator kompromi (IoC) yang dapat digunakan untuk menentukan apakah suatu sistem diserang atau tidak.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
