СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.09.2025
#Dev#ИБ#Инфра#Облака

ToneShell: франкенштейновский бэкдор Mustang Panda, DLL sideloading и FakeTLS

ToneShell: франкенштейновский бэкдор Mustang Panda, DLL sideloading и FakeTLS

Источник: intezer.com

Анализ Zscaler выявил обновлённый, «франкенштейновский» вариант бэкдора ToneShell, который приписывают группе Mustang Panda — актору, связываемому с китайскими интересами. Этот образец сохраняет классические приёмы поставки и уклонения от обнаружения, но при этом демонстрирует заметные изменения в инфраструктуре C2 и методиках сокрытия, что делает его более устойчивым и целенаправленным.

Краткая суть угрозы

ToneShell доставляется преимущественно через DLL sideloading внутри архивов ZIP, содержащих легитимные подписанные исполняемые файлы. Часто такие архивы маскируются материалами с пометкой «политический резонанс», предположительно для привлечения внимания локальных оппонентов или революционных сил. Основные изменения, выявленные Zscaler, включают модификации FakeTLS C2-инфраструктуры, переход к заголовкам в стиле TLS 1.3, внедрение GUID‑идентификаторов хостов и переходящую схему XOR для кодирования трафика.

Как распространяется и внедряется

  • Распространение: ZIP-архивы с легитимными, подписанными исполняемыми файлами, внутри которых происходит DLL sideloading.
  • Социальная инженерия: приманки размещаются в облачных хранилищах и помечаются релевантными для целевой аудитории метками (например, «политический резонанс»).
  • Целевой фокус: обнаружено прицельное воздействие на территорию Мьянмы, что коррелирует с геополитическими интересами Китая в регионе.

Ключевые технические особенности

Вариант ToneShell демонстрирует набор сложных техник уклонения и стойкости:

  • Скрытая резолюция API: злоумышленники используют пользовательскую методологию разрешения API на основе скользящего хэша (rolling-hash), что скрывает имена модулей и функций и затрудняет статический анализ.
  • Возможность обратного восстановления имён: проект HashDB облегчает преобразование таких хэшей обратно в оригинальные имена функций, что упрощает работу аналитиков.
  • Анти-анализ и анти-песочница: включены механизмы, намеренно выводящие автоматические инструменты анализа из строя — это повышает сложность динамического исследования образцов.
  • Уникальный идентификатор хоста (GUID): для каждого заражённого компьютера генерируется уникальный идентификатор, который сверяется с файлом по пути C:ProgramDataSystemRuntimeLag.inc. Если файл отсутствует, GUID создаётся через CoCreateGuid или резервно — внутренним линейным конгруэнтным генератором (LCG). После генерации значение сохраняется обратно в указанный файл, что обеспечивает закрепление идентификатора.
  • Изменения в C2 и FakeTLS: наблюдается переход от заголовков в стиле TLS 1.2 к заголовкам в стиле TLS 1.3 и внедрение сменной схемы XOR для кодирования коммуникаций.

Сетевое поведение и командование‑контроль (C2)

Зловред устанавливает сокетное соединение с сервером C2, который играет центральную роль в операциях командования и контроля. Анализ указывает, что обнаруженная конечная точка может являться началом более широкой кампании — она может использоваться для доставки и управления другими вариантами вредоносного ПО.

Геополитический контекст

Аналитики отмечают прицельность операций на Мьянму. Такое таргетирование соотносится со стратегическими интересами Китая в регионе и характерно для операций APT‑групп, преследующих политические и разведывательные цели.

Что важно учитывать защитникам

Для команд по кибербезопасности и экспертов по угрозам ключевые направления мониторинга и реагирования:

  • Искать случаи DLL sideloading в ZIP‑архивах с подписанными исполняемыми файлами и при возможности анализировать содержимое облачных приманок.
  • Мониторить сетевой трафик на признаки FakeTLS с переходом к заголовкам в стиле TLS 1.3 и использования простой XOR‑обфускации.
  • Проверять наличие и целостность файла C:ProgramDataSystemRuntimeLag.inc и следить за генерацией неожиданных GUID для хостов.
  • Использовать HashDB и аналогичные инструменты для раскрытия хэшей API и ускорения анализа образцов.
  • Усилить механизмы детектирования анти‑аналитических приёмов и детектировать поведение, характерное для остановки песочниц.
  • Рассматривать выявленные C2‑эндпоинты как потенциальные индикаторы более масштабной кампании и проводить ретроактивный охват логов и телеметрии.

Вывод

Обновлённый вариант ToneShell сочетает проверенные методы внедрения с новыми тактиками скрытия и коммуникации, повышая сложность обнаружения и анализа. Его нацеленность на Мьянму подчёркивает политический характер кампании. Экспертам по кибербезопасности рекомендуется учитывать описанные индикаторы и применять специализированные инструменты (включая HashDB) для ускоренного реверса и обнаружения подобных образцов.

Источник анализа: Zscaler

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: