HoneyMyte: Kernel Rootkit tinh vi né phát hiện backdoor ToneShell

Một nhóm tấn công mạng được liên kết với Trung Quốc, được biết đến dưới nhiều tên gọi như HoneyMyte, Mustang Panda hoặc Bronze President, đang sử dụng một loại kernel rootkit mới để che giấu backdoor ToneShell của chúng. Chiến dịch này đại diện cho một mối đe dọa mạng đáng kể, nhắm mục tiêu vào các mạng lưới chính phủ tại Đông Nam Á và Đông Á, đặc biệt là Myanmar và Thái Lan. Mục tiêu chính là hoạt động gián điệp lâu dài, không phải đánh cắp tài chính nhanh chóng.

Tổng quan chiến dịch và mục tiêu của nhóm HoneyMyte

Chiến dịch tấn công bắt đầu bằng việc triển khai một driver độc hại lên các hệ thống Windows đã bị xâm nhập. Driver này được đặt tên là ProjectConfiguration.sys và được tải dưới dạng mini-filter driver.

Để tăng cường khả năng tàng hình, driver độc hại được ký bằng một chứng chỉ cũ, bị đánh cắp từ công ty Guangzhou Kingteller Technology Co., Ltd. Việc này giúp driver có vẻ đáng tin cậy đối với hệ điều hành và một số công cụ bảo mật, từ đó dễ dàng qua mặt các cơ chế phòng thủ ban đầu.

Các nhà nghiên cứu tại Securelist đã xác định rằng driver này không chỉ tải backdoor ToneShell mà còn che chắn toàn bộ bộ công cụ khỏi các quá trình quét bảo mật. Phân tích chi tiết của Securelist cung cấp cái nhìn sâu sắc về khả năng tàng hình của rootkit.

Chiến dịch này được liên kết với các hoạt động trước đây của HoneyMyte thông qua sự hiện diện của các công cụ khác của nhóm trên các máy chủ nạn nhân, bao gồm ToneDisk USB worm, PlugX, và các phiên bản ToneShell cũ hơn.

Cơ chế hoạt động của Kernel Rootkit

Kỹ thuật cài đặt và che giấu

Sau khi được tải thành công, driver thực hiện việc tiêm ToneShell vào một tiến trình svchost.exe có đặc quyền cao. Sau đó, nó sẽ ẩn cả file driver của chính nó và tiến trình mới được tiêm.

Kỹ thuật che giấu này cho phép backdoor hoạt động ngầm, tránh bị phát hiện bởi các công cụ giám sát hệ thống thông thường, là một đặc trưng của nhiều mối đe dọa mạng tinh vi.

Cơ chế chống phát hiện ở cấp Kernel

Rootkit này móc nối (hook) các hoạt động liên quan đến file và registry. Bất kỳ nỗ lực nào nhằm xóa hoặc đổi tên driver, hoặc thay đổi các khóa dịch vụ của nó, đều sẽ trả về lỗi STATUS_ACCESS_DENIED ở cấp độ kernel. Điều này khiến việc loại bỏ thủ công trở nên cực kỳ khó khăn.

Ngoài ra, rootkit còn can thiệp vào tầng WdFilter của Microsoft Defender. Nó đặt bộ lọc của mình sâu hơn trong stack, cho phép nó quan sát và chặn các hoạt động trước khi nhiều công cụ bảo mật khác có thể xử lý. Điều này thể hiện sự tinh vi trong việc né tránh các giải pháp phát hiện xâm nhập.

Driver mang theo hai shellcode bên trong phần .data của nó. Shellcode đầu tiên tạo một phiên bản svchost.exe mới, ghi ID tiến trình của nó vào đĩa, và chuẩn bị các tên sự kiện chia sẻ cùng đường dẫn file.

Shellcode thứ hai là chính backdoor ToneShell. Nó được tiêm vào tiến trình svchost đó và được thêm vào một danh sách các tiến trình được bảo vệ. Điều này ngăn chặn các công cụ khác mở một handle đến tiến trình svchost bị tiêm, tăng cường khả năng tàng hình của ToneShell backdoor.

Chi tiết kỹ thuật về Backdoor ToneShell

Giao tiếp Command-and-Control (C2)

ToneShell thiết lập kênh liên lạc với máy chủ Command-and-Control (C2) thông qua giao thức raw TCP trên cổng 443. Mặc dù sử dụng cổng 443, nó giả mạo một bản ghi TLS 1.3 với một tiêu đề đơn giản và payload được mã hóa bằng XOR.

Việc sử dụng cổng 443 giúp lưu lượng truy cập này hòa lẫn vào lưu lượng HTTPS hợp pháp, làm cho việc phát hiện trở nên khó khăn hơn đối với các hệ thống giám sát mạng. Mã hóa XOR, dù đơn giản, đủ để che giấu nội dung lệnh và dữ liệu đánh cắp khỏi các công cụ phân tích mạng cơ bản.

Các chỉ số lây nhiễm (IOCs) và phân tích

Phân tích sâu về chiến dịch này chỉ ra một sự thay đổi rõ ràng trong chiến thuật của HoneyMyte, hướng tới khả năng tàng hình ở cấp độ kernel. Điều này tạo ra một mối đe dọa mạng nghiêm trọng, yêu cầu các biện pháp phòng thủ nâng cao.

• Tên file Driver: ProjectConfiguration.sys
• Tiến trình bị tiêm: svchost.exe (có đặc quyền cao)
• Cổng C2: TCP 443 (raw TCP, giả mạo TLS 1.3)
• Loại mã hóa C2: XOR-encrypted payload
• Công cụ liên quan: ToneDisk USB worm, PlugX, các biến thể ToneShell cũ hơn
• Kỹ thuật né tránh: Sử dụng chứng chỉ kỹ thuật số bị đánh cắp (Guangzhou Kingteller Technology Co., Ltd.), móc nối hoạt động file/registry, can thiệp vào WdFilter của Microsoft Defender.

Tác động và yêu cầu phòng thủ

Sự chuyển hướng của HoneyMyte sang kỹ thuật tàng hình ở cấp độ kernel làm cho việc điều tra pháp y bộ nhớ (memory forensics) và các công cụ phát hiện rootkit trở nên cực kỳ quan trọng trên các mạng lưới chính phủ có giá trị cao. Các tổ chức cần tăng cường khả năng phát hiện xâm nhập để chống lại các mối đe dọa mạng ngày càng phức tạp.

Đối phó hiệu quả với loại hình tấn công này đòi hỏi một chiến lược bảo mật đa lớp, bao gồm giám sát hoạt động cấp kernel, phân tích hành vi của driver và tiến trình, cùng với việc triển khai các giải pháp an ninh mạng tiên tiến có khả năng phát hiện các kernel rootkit.