中国国家黑客组织利用内核级Rootkit隐藏ToneShell恶意软件活动
安全公司卡巴斯基近日披露,与中国关联的黑客组织"Mustang Panda"正使用一种新型内核模式加载器部署ToneShell后门程序,针对缅甸、泰国等亚洲国家政府机构发起攻击。该恶意驱动程序通过拦截文件系统操作、干扰Microsoft Defender配置等方式规避安全检测。
研究人员指出,这是首次发现ToneShell通过内核模式加载器投放,使其能够绑过用户态监控并隐藏恶意活动。新变种采用伪造TLS头进行流量混淆,支持远程shell、文件上传下载等多种命令。
—— BleepingComputer , DNSPODT
安全公司卡巴斯基近日披露,与中国关联的黑客组织"Mustang Panda"正使用一种新型内核模式加载器部署ToneShell后门程序,针对缅甸、泰国等亚洲国家政府机构发起攻击。该恶意驱动程序通过拦截文件系统操作、干扰Microsoft Defender配置等方式规避安全检测。
研究人员指出,这是首次发现ToneShell通过内核模式加载器投放,使其能够绑过用户态监控并隐藏恶意活动。新变种采用伪造TLS头进行流量混淆,支持远程shell、文件上传下载等多种命令。
—— BleepingComputer , DNSPODT