Kaspersky Securelist'teki siber güvenlik araştırmacılarının yaptığı önemli bir keşifte, Güneydoğu ve Doğu Asya'daki hükümet ofislerini hedef alan yeni bir casusluk faaliyetinin ortaya çıktığı bildirildi. Şubat 2025'te başladığı düşünülen bu kampanya, bir rootkit kullanarak bilgisayarın çekirdeğinde derinlemesine gizleniyor ve standart güvenlik araçlarına görünmez hale geliyor.
Kaspersky, bu saldırıyı HoneyMyte (diğer adıyla Bronze President veya Mustang Panda) adlı bir gruba bağlıyor. Analizlerine göre, hackerlar özellikle Myanmar ve Tayland'ı hedef alıyor ve ProjectConfiguration.sys adlı kötü amaçlı bir sürücü dosyası kullanıyorlar.
Dijital Korumanın Aşılması
Bildiğimiz gibi, çoğu antivirüs programı yüzeydeki şüpheli dosyaları tarar. Ancak, bu saldırıyı tespit edemezler çünkü sürücü, sistemin trafik kontrolünde derinlerde yer alan bir mini filtre olarak kaydedilir.
Legitim görünmek için, hackerlar Guangzhou Kingteller Technology'den çalınan bir dijital sertifika kullandılar (Serial: 08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F), bu sertifika 2015'te süresi dolmuş olmasına rağmen, kötü amaçlı yazılımın iç uyarıları atlatmasına yardımcı oluyor.
İzlerini daha da gizlemek için, sürücü dinamik çözümleme kullanıyor; bu teknik, iç kodunu karıştırarak güvenlik yazılımlarının ne yaptığını kolayca anlamasını engelliyor. Daha fazla inceleme, sürücünün son derece inatçı olduğunu ortaya koydu. Eğer bir antivirüs onu silmeye veya yeniden adlandırmaya çalışırsa, sürücü bu eylemi engelliyor. Hatta Microsoft Defender'ı yüksekliği ayarlarıyla oynayarak kör ediyor. Bu, kötü amaçlı yazılımın sistemde antivirüsün altında kalmasına ve güvenlik yazılımları onları görmeden önce komutları yakalamasına olanak tanıyor, blog yazısında açıklanıyor.
ToneShell Arka Kapısı
Bu saldırının nihai amacı, hackerların dosyaları çalmasına, veri indirmesine veya uzaktan komut çalıştırmasına olanak tanıyan gizli bir geçit olan ToneShell arka kapısını bırakmaktır.
Dikkate değer bir bulgu, grubun kontrol sunucularını (avocadomechanism.com ve potherbreference.com) Eylül 2024'te NameCheap aracılığıyla kaydetmiş olmalarıdır; bu, gerçek saldırılardan aylar önce gerçekleşmiştir.
Bu, ToneShell'ın bir çekirdek mod yükleyici aracılığıyla teslim edildiği ilk kez olarak kaydedildi, araştırmacılar bunun casusluk aracına yakalanmaktan yüksek bir koruma sağladığını belirttiler.
Saldırı sırasında, sürücü iki yük oluşturur: ilk olarak, bir tuzak olarak hareket eden bir ana işlem (svchost) oluşturur ve ardından ToneShell arka kapısını bu işleme enjekte eder. İletişimlerini gizli tutmak için, ToneShell sahte bir TLS numarası kullanarak, güvenli TLS 1.3 trafiğinin işaretlerini taklit eder.
İlginç bir şekilde, çoğu kurban zaten ToneDisk USB solucanı veya PlugX gibi eski HoneyMyte araçları ile enfekte olmuştu. Kötü amaçlı yazılım tamamen bilgisayarın belleğinde çalıştığı ve kendi süreçlerini korumak için shellcode'lar kullandığı için tespit edilmesi oldukça zordur. Bu nedenle Kaspersky araştırmacıları, bu sahte bağlantıları yakalamak için derin bellek denetimleri ve ağ trafiğinin dikkatli izlenmesini önermektedirler.
