HoneyMyte APT повышает скрытность: в арсенале появился руткит уровня ядра и обновленный бэкдор ToneShell

Атаки, обнаруженные в середине 2025 года, были нацелены на компьютерные системы в Азии, в частности в Мьянме и Таиланде. Конечной целью является внедрение в системные процессы бэкдора ToneShell, который обеспечивает злоумышленникам обратную связь с зараженной машиной и широкий набор функций для шпионажа. Примечательно, что почти все пострадавшие системы ранее уже были скомпрометированы другими инструментами HoneyMyte, такими как червь ToneDisk, троян PlugX и более ранние версии ToneShell. Это позволяет предположить, что злоумышленники используют уже существующий доступ для развертывания нового опасного драйвера.

Драйвер, получивший имя ProjectConfiguration.sys, подписан скомпрометированным цифровым сертификатом, выданным еще в 2012 году компании Guangzhou Kingteller Technology Co., Ltd. Аналитики отмечают, что этот же сертификат использовался и другими угрозами, что указывает на его утечку или кражу. Основная функциональность драйвера сосредоточена на трех ключевых задачах: защита самого себя, сокрытие связанных процессов и registry-ключей, а также инъекция финальной полезной нагрузки (payload).

Для самообороны драйвер регистрируется в системе как мини-фильтр и перехватывает операции удаления и переименования файлов. Когда любая программа, включая антивирусные средства, пытается удалить или переименовать файл драйвера, операция блокируется. Аналогичным образом руткит защищает свои registry-ключи, регистрируя callback-функцию на низком уровне в стеке ввода-вывода. Более того, он активно противодействует Microsoft Defender, изменяя параметр загрузки его ключевого драйвера WdFilter, что фактически не позволяет ему корректно загрузиться.

Особое внимание уделяется скрытию процессов, в которые внедрен бэкдор. Драйвер ведет специальный список защищаемых идентификаторов процессов (PID) и с помощью механизмов ядра блокирует любое взаимодействие с этими процессами со стороны других приложений или средств мониторинга. Как только бэкдор завершает свою работу, защита с процесса снимается, что минимизирует шансы на обнаружение аномалий.

Процесс внедрения полезной нагрузки состоит из двух этапов. Сначала драйвер находит процесс с высокими привилегиями и внедряет в него первичный шелл-код, который создает новый процесс svchost. Затем PID этого процесса вносится в защищаемый список. На втором этапе в этот же процесс svchost внедряется финальная нагрузка - обновленная версия бэкдора ToneShell. Для сокрытия своего присутствия драйвер активно использует обфускацию, динамически разрешая адреса необходимых API-функций по их хэш-значениям.

Обновленный ToneShell демонстрирует несколько технических изменений. Вместо генерации 16-байтового GUID для идентификации хоста, новая версия создает и проверяет специальный файл-маркер в системе. Для связи с командным центром (C2) бэкдор использует сырые TCP-соединения на порт 443, маскируя трафик под TLS-заголовки версии 1.3. Каждый пакет данных шифруется с помощью скользящего XOR-ключа. Функционал бэкдора остается широким и включает загрузку и выгрузку файлов, выполнение команд через удаленную оболочку и управление сессией.

Появление kernel-модуля в арсенале HoneyMyte знаменует серьезную эскалацию их возможностей. Использование руткита уровня ядра делает атаку значительно более скрытной и устойчивой к обнаружению стандартными пользовательскими средствами защиты. Эксперты подчеркивают, что для противодействия таким угрозам критически важны продвинутые решения класса EDR, способные анализировать поведение на уровне памяти и ядра операционной системы. Кроме того, организациям рекомендуется уделять повышенное внимание сегментации сети, мониторингу необычной активности и регулярному аудиту систем на предмет признаков ранее скомпрометированного доступа, который может быть использован для развертывания таких сложных угроз.

Domains

• avocadomechanism.com
• potherbreference.com

MD5

• 36f121046192b7cac3e4bec491e8f1b5
• abe44ad128f765c14d895ee1c8bad777
• fe091e41ba6450bcf6a61a2023fe6c83