Çinli hakerlərdən yeni texnoloji silah: Rootkit hücumları artır

Mustang Panda qrupunun yeni hücumu

Çinli dövlət hakerləri tərəfindən idarə olunan Mustang Panda qrupunun yeni kibercasusluq hücumları Asiya ölkələrində hökumət təşkilatlarını hədəf alır. Kaspersky-nin təhlükəsizlik tədqiqatçıları bu hücumların 2025-ci ilin fevral ayından bəri davam etdiyini bildirir. Hücumlar Myanmar, Tayland və digər Asiya ölkələrindəki təşkilatlara yönəlib.

Yeni rootkit texnologiyası

ToneShell zərərli proqramı bu dəfə kernel rejimli bir rootkit vasitəsilə yayımlanır. Rootkit, ProjectConfiguration.sys adlı mini-filter sürücüsü vasitəsilə işləyir və zərərli fəaliyyətini gizlətmək üçün xüsusi texnikalardan istifadə edir. Sürücü, Windows fayl sistemi əməliyyatlarını dəyişdirərək özünü silinməyə və ya yenidən adlandırılmağa qarşı qoruyur. Eyni zamanda, Microsoft Defender kimi təhlükəsizlik proqramlarına müdaxilə edərək onların fəaliyyətini məhdudlaşdırır.

Sürücü, kernel API-ləri dinamik şəkildə həll edir və fayl əməliyyatlarını bloklayır. Həmçinin, təhlükəsizlik proqramlarına üstünlük əldə etmək üçün mini-filter sürücüsünün hündürlük səviyyəsini antivirusların rezerv etdiyi diapazondan yuxarı seçir. İstifadəçi rejimli proseslərə müdaxilə edərək, zərərli kodların gizliliyini təmin edir.

Texnoloji inkişaf və təhlükəsizlik boşluqları

ToneShell-in yeni versiyası daha gizli işləmə texnikaları ilə təchiz olunub. Məsələn, əvvəlki versiyalarda 16-baytlıq GUID host identifikasiyası istifadə edilirdisə, yeni versiyada 4-baytlıq host ID sisteminə keçilib. Bundan əlavə, şəbəkə trafiki saxta TLS başlıqları ilə gizlədilir. Bu texnikalar Mustang Panda qrupunun taktika və prosedurlarını daha da inkişaf etdirdiyini göstərir.

Yeni versiya uzaqdan əməliyyatları dəstəkləyir, məsələn:

• Fayl yükləmək və ya göndərmək
• Uzaqdan komanda icra etmək
• Şəbəkə bağlantısını idarə etmək

İnsan təsiri və təhlükəsizlik tövsiyələri

Kaspersky, Mustang Panda hücumlarını aşkar etmək üçün yaddaş analizi metodlarının vacib olduğunu vurğulayır. Şirkət, təşkilatlara kibertəhlükəsizliyini gücləndirmək üçün hücum göstəricilərinin siyahısını təqdim edir. Asiya ölkələrindəki hökumət təşkilatları bu hücumların nəticəsində məlumat sızıntısı və fəaliyyət pozuntuları ilə üzləşə bilər.

Nəticə

Çinli dövlət hakerlərinin Mustang Panda qrupunun yeni hücumları kibertəhlükəsizlik sahəsində ciddi narahatlıqlar yaradır. Bu hücumlar, hökumət təşkilatlarının daha güclü təhlükəsizlik tədbirləri görməsinin vacibliyini bir daha xatırladır.