## Mustang Panda APT 利用簽署的內核模式 Rootkit 部署 ToneShell 後門

中國APT組織Mustang Panda（又名Hive0154、HoneyMyte、Camaro Dragon、RedDelta 或 Bronze President）近期被發現利用簽署的內核模式Rootkit驅動程式，部署其ToneShell後門。此舉顯示了該組織技術能力的提升，以及對系統安全防護的繞過。Kaspersky的研究人員在2025年中於亞洲地區的系統中偵測到此活動，這顆被簽署的惡意驅動程式偽裝成迷你過濾器驅動程式，旨在保護惡意元件並將後門注入系統程序 (Security Affairs, 2025)。

### 攻擊概況與分析

Mustang Panda長期以來一直針對美國和歐洲的實體，包括政府組織、智庫、非政府組織，甚至梵蒂岡的Catholic組織 (Security Affairs, 2025)。此次攻擊鎖定的目標則集中在東南亞和東亞的政府組織，特別是緬甸和泰國 (The Hacker News, 2025)。

攻擊鏈條的核心是一個簽署的內核模式Rootkit驅動程式。該驅動程式使用過時、被盜或洩漏的數位證書進行簽署，並以迷你過濾器驅動程式的形式註冊到受感染的機器上。迷你過濾器驅動程式允許Rootkit監控和修改系統調用，從而隱藏其惡意活動並維持持久性。

此驅動程式的數位證書來自廣州金泰勒科技有限公司 (Guangzhou Kingteller Technology Co., Ltd.)，序列號為08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F，有效期從2012年8月至2015年 (Security Affairs, 2025)。這意味著該證書已經過期多年，但仍然可以被Windows系統接受並用於簽署惡意驅動程式，引發了關於Windows驅動程式簽署機制安全性的質疑 (LinkedIn, Noushin Shabab)。

Rootkit的功能包括：

* **保護惡意檔案:** 隱藏惡意檔案，使其免受防毒軟體和安全工具的偵測。
* **保護使用者模式程序:** 阻止對惡意使用者模式程序的分析和除錯。
* **保護登錄機碼:** 隱藏惡意登錄機碼，防止其被發現和刪除。
* **後門注入:** 將ToneShell後門注入系統程序，例如svchost.exe，以建立反向Shell並下載後續的惡意軟體 (SecurityWeek, 2025)。

該驅動程式包含兩個使用者模式Shellcode，分別作為獨立的執行緒執行。第一個Shellcode旨在延遲執行，而第二個Shellcode則負責部署ToneShell後門 (SecurityWeek, 2025)。ToneShell是一個具有反向Shell和下載功能的植入體，能夠在受感染的機器上執行任意程式碼並竊取敏感資料。

### ToneShell 後門的運作機制

ToneShell後門利用反向Shell機制，允許攻擊者從受感染的機器建立連線，並遠端控制該機器。攻擊者可以利用ToneShell執行各種惡意活動，包括：

* **資料竊取:** 竊取敏感資料，例如使用者名稱、密碼、文件和電子郵件。
* **遠端控制:** 遠端控制受感染的機器，執行任意程式碼和安裝其他惡意軟體。
* **橫向移動:** 從受感染的機器橫向移動到網路中的其他機器，擴大攻擊範圍。
* **持久化:** 在受感染的機器上建立持久化後門，以便在重新啟動後繼續訪問該機器。

Kaspersky的研究人員觀察到ToneShell後門在攻擊過程中會部署兩個使用者模式Payload。第一個Payload會啟動一個svchost程序，並將延遲Shellcode注入其中。此Shellcode用於延遲後門的執行，使其更難被偵測。第二個Payload則是ToneShell後門本身，它會建立與攻擊者控制伺服器的連線，並等待指令 (SecurityWeek, 2025)。

### 影響與應對措施

Mustang Panda利用簽署的Rootkit部署ToneShell後門，對目標組織的安全構成了嚴峻的威脅。由於Rootkit在內核模式運行，並且具有隱藏自身的強大能力，因此很難被偵測和移除。此外，簽署的驅動程式更容易繞過安全軟體的檢查，使其更具威脅性。

為了應對此類攻擊，建議採取以下措施：

* **加強驅動程式簽署驗證:** 確保Windows系統能夠正確驗證驅動程式的數位簽章，並阻止使用過期或無效證書簽署的驅動程式加載。
* **部署內核模式安全解決方案:** 使用能夠監控和保護內核模式的安全解決方案，例如Endpoint Detection and Response (EDR) 系統和行為分析工具。
* **定期更新安全軟體:** 定期更新防毒軟體、防火牆和其他安全軟體，以確保其能夠偵測和阻止最新的惡意軟體。
* **加強系統安全配置:** 禁用不必要的服務和功能，並實施最小權限原則，以減少攻擊面。
* **監控系統活動:** 監控系統活動，例如程序創建、檔案修改和網路連線，以偵測異常行為。
* **加強員工安全意識培訓:** 培訓員工識別和避免網路釣魚攻擊和其他社會工程攻擊，以防止惡意軟體進入系統。

### MITRE ATT&CK 對應

以下是與此攻擊相關的MITRE ATT&CK技術：

* **T1059.001 – Command and Scripting Interpreter: PowerShell:** 攻擊者可能使用PowerShell執行Shellcode或下載其他惡意軟體。
* **T1566.001 – Phishing: Spearphishing Attachment:** 攻擊者可能通過網路釣魚郵件傳送包含惡意附件的文件，該附件會利用漏洞感染目標系統。
* **T1055.001 – Process Discovery:** 攻擊者可能使用Process Discovery技術來識別可以注入Shellcode的系統程序。
* **T1056.001 – Input Capture:** 攻擊者可能使用Input Capture技術來記錄使用者輸入，例如使用者名稱和密碼。
* **T1105 – Ingress Tool Transfer:** 攻擊者將工具（例如ToneShell）傳輸到受害系統。
* **T1218.007 – Signed Binary Proxy Execution:** 攻擊者使用簽署的二進制文件（例如惡意驅動程式）作為代理，執行惡意程式碼。
* **T1547.001 – Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder:** 攻擊者可能使用登錄Run鍵或啟動資料夾來建立持久化後門。
* **T1041 – Exfiltration Over C2 Channel:** 攻擊者可能通過C2通道將竊取到的資料傳輸出受感染的網路。

### 結論

Mustang Panda APT組織利用簽署的內核模式Rootkit部署ToneShell後門，展示了其持續演進的攻擊技術。此事件突顯了加強驅動程式安全、部署內核模式安全解決方案以及提高安全意識的重要性。 組織應積極採取預防措施，以保護其系統免受此類攻擊。

參考資料與原文來源

• 🔗 原文來源: https://securityaffairs.com/186318/security/mustang-panda-deploys-toneshell-via-signed-kernel-mode-rootkit-driver.html
• 🔗 原文來源: https://www.youtube.com/watch?v=JukVMlDjMIc
• 🔗 原文來源: https://www.securityweek.com/chinese-apt-mustang-panda-caught-using-kernel-mode-rootkit/
• 🔗 原文來源: https://thehackernews.com/2025/12/mustang-panda-uses-signed-kernel-driver.html
• 🔗 原文來源: https://www.linkedin.com/posts/noushin-shabab_we-found-a-new-kernel-mode-malware-used-in-activity-7411696487757447168-cKMN

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。