HoneyMyte использует руткит в ядре и бэкдор ToneShell через драйвер

В середине 2025 года исследователи зафиксировали новую волну атак, в которой APT‑группировка HoneyMyte использовала усовершенствованные методы проникновения на целевые системы. Ключевым компонентом кампании стал руткит уровня ядра, реализованный через скомпрометированный драйвер‑мини‑фильтр, и финальная полезная нагрузка — бэкдор ToneShell, доставленная через загрузчик в режиме ядра.

Краткие выводы

• Использован цифровой сертификат от Guangzhou Kingteller Technology Co., Ltd., применённый после даты истечения в 2015 году.
• Драйвер функционирует как мини‑фильтр (minifilter) и предназначен для скрытия процессов и ветвей реестра от обнаружения.
• В двоичном коде драйвера обнаружены встроенные шелл‑коды, которые исполняются как отдельные пользовательские потоки.
• Для обхода механизмов контроля и сокрытия операционной активности злоумышленники использовали взаимодействие с системными компонентами (включая вызов ZwQuerySystemInformation) и регистрацию обратных вызовов для I/O и реестра.
• Финальная полезная нагрузка — бэкдор ToneShell — впервые зафиксирована как доставленная через загрузчик в режиме ядра, что повышает её способность обходить пользовательские проверки безопасности.

«Этот файл драйвера действует как мини‑фильтр, предназначенный для облегчения внедрения троянца‑бэкдора в систему, скрывая при этом вредоносные процессы и ключи реестра от обнаружения.»

Технический анализ: как работает руткит

Анализ показал, что скомпрометированный драйвер реализует несколько взаимосвязанных механизмов сокрытия и защиты внедрённого кода:

• Мини‑фильтр (minifilter): драйвер регистрируется в диспетчере фильтров и устанавливает функцию обратного вызова перед обработкой I/O‑запросов. Эта функция срабатывает при запросах конкретной информации о файле и может блокировать или отклонять операции доступа, связанные с файлами злоумышленников.
• Встраиваемые шелл‑коды: двоичный образ драйвера содержит встроенные shellcode‑фрагменты, которые загружаются и запускаются как отдельные потоки в пользовательском режиме для выполнения вспомогательной логики и взаимодействия с полезной нагрузкой.
• Взаимодействие с ядром: драйвер вызывает ZwQuerySystemInformation для получения адресов критических библиотек, таких как ntoskrnl.exe и fltmgr.sys, что позволяет ему осуществлять дальнейшие вредоносные действия на основе выявленных адресов.
• Защита реестра: злоумышленники регистрируют процедуру обратного вызова для операций с реестром, присваивая себе жёстко заданное значение altitude, что гарантирует выполнение их операций под допустимыми фильтрами в стеке I/O и усложняет обнаружение изменений.

Доставка полезной нагрузки и поведение на хосте

Реализация полезной нагрузки включает несколько этапов:

• Запуск легитимного процесса svchost и внедрение в него дополнительного шелл‑кода, который отслеживает новый идентификатор процесса (PID) и манипулирует им для выполнения дальнейших операций.
• Использование возможностей руткита для загрузки и запуска бэкдора ToneShell через загрузчик в режиме ядра — впервые зафиксированный способ доставки для этой полезной нагрузки. Такой подход позволяет обходить классические проверки и средства мониторинга в пользовательском пространстве.

Связь с HoneyMyte и сопутствующее ПО

Хотя найденные технические артефакты не дают 100%‑й уверенности в атрибуции, существует ряд косвенных индикаторов, указывающих на связь с группировкой HoneyMyte:

• использование бэкдора ToneShell как финальной полезной нагрузки;
• наличие связанного вредоносного ПО, ранее ассоциируемого с этой группой, включая PlugX и ToneDisk;
• схожие тактики уклонения и методы внедрения в системные компоненты.

Таким образом, обнаруженная кампания отражает эволюцию тактик: злоумышленники переходят от чисто пользовательских методов доставки к использованию возможностей режима ядра для повышения устойчивости и скрытности.

Последствия для инфраструктуры

Применение руткитов на уровне ядра и доставка бэкдоров через kernel‑loader представляет серьёзную угрозу — такие инструменты способны:

• укрывать присутствие злоумышленника от большинства средств мониторинга и антивирусов;
• обеспечивать персистентность на уровне загрузки ОС;
• позволять атакующим эскалировать привилегии и манипулировать критическими системными ресурсами (файловой системой, реестром, процессами).

Рекомендации по защите и детектированию

Для снижения риска успешных атак такого типа и повышения вероятности обнаружения рекомендуется:

• проверять и блокировать драйверы с просроченными или отозванными сертификатами; внедрить контроль целостности списка установленных драйверов;
• включить и применять политики, ограничивающие загрузку неподписанных драйверов (Driver Signature Enforcement) и использовать Secure Boot там, где это возможно;
• обеспечить наличие EDR/IDS с телеметрией уровня ядра (kernel‑mode visibility) и мониторингом аномалий в стеке I/O и регистрах системы;
• следить за необычными вызовами API ядра (например, ZwQuerySystemInformation) со стороны драйверов и за регистрацией нетипичных minifilter/registry callbacks с подозрительными altitude;
• проводить инвентаризацию и контроль доверенных сертификатов поставщиков, а также оперативно реагировать на обнаружение компрометации подписей;
• использовать многослойную защиту: ограничение прав, сетевые сегментации, детектирование инъекций в процессы (включая svchost) и регулярные проверки целостности системных бинарников.

Эта кампания подчёркивает, что современные APT всё активнее используют возможности режима ядра для обхода защит. Организациям необходимо пересмотреть подходы к управлению драйверами, мониторингу уровня ядра и политике доверия цифровых сертификатов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.