كشفت تقارير أمنية حديثة عن استراتيجية هجومية جديدة تستخدمها مجموعة قراصنة صينية، مرتبطة في السابق ببرمجيات تجسس مثل “HoneyMyte” و”Mustang Panda”، حيث تعتمد المجموعة الآن على استخدام نوع متطور من برمجيات التخفي (rootkit) لإخفاء نشاط برمجية “ToneShell” الخبيثة.
تركز هذه الحملة التي تستهدف شبكات حكومية في جنوب شرق آسيا وشرقها، مع تركيز كبير على ميانمار وتايلاند، على التجسس طويل الأمد بدلاً من سرقة الأموال السريعة. تستخدم الهجمات برمجية تعريف خبيثة لضمان التسلل والتخفي.
تكتيكات التخفي والسيطرة باستخدام Rootkit
تبدأ الهجمة بإدخال برمجية تعريف (driver) خبيثة على أنظمة ويندوز المخترقة مسبقاً، ويتم تحميلها كبرمجية تعريف “mini-filter” تحت اسم ProjectConfiguration.sys. هذه البرمجية موقعة بشهادة قديمة مسروقة من شركة Guangzhou Kingteller Technology Co., Ltd، مما يمنحها مظهراً موثوقاً به أمام نظام التشغيل وبعض أدوات الأمن.
وفقاً لباحثي Securelist، فإن هذه البرمجية التعريفية لا تقتصر على تحميل برمجية ToneShell فحسب، بل تعمل أيضاً على حماية مجموعة الأدوات الكاملة من عمليات المسح الأمني. وتم ربط الحملة بأنشطة سابقة لمجموعة HoneyMyte، حيث لوحظ وجود أدوات أخرى للمجموعة لدى الضحايا، مثل دودة USB ToneDisk، PlugX، وإصدارات أقدم من ToneShell.
آلية عمل برمجية التجسس
بمجرد تحميلها، تقوم برمجية التعريف بحقن برمجية ToneShell في عملية svchost.exe ذات الامتيازات العالية، ثم تقوم بإخفاء ملفها الخاص والعملية الجديدة. تقوم البرمجية باعتراض عمليات الملفات والسجل، بحيث أي محاولة لحذف أو إعادة تسمية برمجية التعريف، أو تغيير مفاتيح الخدمة الخاصة بها، تقابل برد STATUS_ACCESS_DENIED على مستوى النواة (kernel level).
بالإضافة إلى ذلك، تقوم البرمجية بالتحايل على نظام WdFilter الخاص بـ Microsoft Defender، مما يسمح لبرمجية التعريف الخاصة بها بالعمل في طبقة أعمق ضمن بنية النظام، وتمكينها من رؤية وحظر العمليات قبل العديد من محركات الأمان الأخرى.
تفاصيل الاختراق والانتشار
تحتوي برمجية التعريف على جزأين من الشيفرة (shellcodes) ضمن قسم (.data) الخاص بها. الجزء الأول يقوم بإنشاء نسخة جديدة من svchost.exe، وتسجيل معرّف العملية (process ID) على القرص، وإعداد أسماء أحداث وملفات مشتركة. الجزء الثاني هو برمجية ToneShell الخبيثة نفسها، والتي يتم حقنها في عملية svchost.exe تلك، وإضافتها إلى قائمة العمليات المحمية لمنع الأدوات الأخرى من الوصول إليها.
تتواصل برمجية ToneShell مع خوادم القيادة والتحكم (command-and-control servers) عبر منفذ TCP خام (raw TCP) على المنفذ 443، وتقوم بتزييف سجل TLS 1.3 مع ترويسة بسيطة وبيانات مشفرة بطريقة XOR.
تشير هذه التفاصيل التقنية الشاملة إلى تحول واضح في استراتيجية مجموعة HoneyMyte نحو التخفي على مستوى النواة، مما يجعل تحليل الذاكرة (memory forensics) والكشف القائم على الوعي ببرمجيات التخفي (rootkit-aware detection) أمراً ضرورياً للشبكات الحكومية ذات القيمة العالية.