Biến thể mới nhất của ToneShell backdoor đã cho thấy sự phát triển đáng kể trong chiến lược duy trì quyền truy cập, đặc biệt là thông qua việc lợi dụng dịch vụ COM của Windows Task Scheduler. Backdoor hạng nhẹ này, thường được phân phối qua kỹ thuật DLL sideloading, giờ đây tích hợp các cơ chế duy trì quyền truy cập nâng cao và các khả năng chống phân tích tinh vi, đặt ra một mối đe dọa mạng đáng kể đối với các đội ngũ bảo mật.

Các nhà nghiên cứu an ninh mạng đã xác định biến thể ToneShell mới này, cho thấy sự tiến hóa không ngừng của kho vũ khí từ nhóm Mustang Panda, một nhóm APT có liên kết với Trung Quốc. Không giống như các phiên bản trước chỉ dựa vào các phương pháp duy trì quyền truy cập truyền thống, biến thể này thiết lập một tác vụ theo lịch trình có tên “dokanctl”, được thực thi mỗi phút từ một thư mục được đặt tên ngẫu nhiên trong thư mục AppData của người dùng.

Phân Tích Chuyên Sâu Biến Thể ToneShell Backdoor Mới

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Quy trình cài đặt của biến thể ToneShell backdoor bắt đầu bằng một chuỗi kiểm tra và xác thực toàn diện. Trước tiên, nó kiểm tra xem có đang chạy từ một đường dẫn đồng bộ hóa Google Drive hay không. Đây có thể là một biện pháp chống lây nhiễm để ngăn các tác nhân đe dọa xâm phạm hệ thống của chính họ.

Nếu kiểm tra này thành công, phần mềm độc hại sẽ thực thi chính sách chỉ một phiên bản duy nhất sử dụng mutex “GlobalSingleCorporation12AD8B” trước khi tiếp tục chuỗi cài đặt. Sau khi các điều kiện tiên quyết hoạt động được đáp ứng, backdoor sẽ sao chép chính nó cùng với các tệp DLL hỗ trợ (msvcr100.dll, msvcp100.dll, mfc100.dll) vào một thư mục mới được tạo với tên ngẫu nhiên gồm sáu ký tự viết hoa.

Tiếp theo, việc tích hợp dịch vụ COM của Task Scheduler sẽ tạo ra một cơ chế thực thi bền bỉ. Tác vụ được thiết lập để chạy tệp svchosts.exe trong thư mục đã sao chép với tần suất một phút mỗi lần.

Cơ chế tạo tác vụ:

Tên tác vụ: dokanctl
Đường dẫn thực thi: %APPDATA%<random-6-chars>svchosts.exe
Khoảng thời gian: 1 phút

Để tìm hiểu thêm về biến thể Frankenstein của ToneShell nhắm mục tiêu Myanmar, bạn có thể tham khảo phân tích chi tiết từ Intezer tại Intezer Blog.

Kỹ Thuật Chống Phân Tích (Anti-Analysis) và Né Tránh Nâng Cao

Biến thể ToneShell backdoor này thể hiện sự tiến bộ đáng kể trong các kỹ thuật né tránh, triển khai nhiều lớp cơ chế chống phân tích và chống sandboxing. Phần mềm độc hại sử dụng các thao tác tệp tin lặp đi lặp lại: tạo, ghi, đóng và xóa các tệp tạm thời trong các vòng lặp với độ trễ 100 mili giây.

Điều này không chỉ đốt cháy thời gian thực thi mà còn gây căng thẳng cho quá trình mô phỏng hệ thống tệp trong các môi trường phân tích tự động. Các kỹ thuật né tránh dựa trên thời gian bao gồm các vòng lặp ngủ ngẫu nhiên, tạo ra độ trễ từ 800 mili giây đến hơn một giây mỗi lần lặp, tích lũy hơn 20 giây độ trễ khởi động tổng cộng.

Ngoài ra, phần mềm độc hại sử dụng hàm GetTickCount64() kết hợp với các khoảng ngủ jittered, chờ cho đến khi ít nhất 10 giây thời gian đồng hồ tường đã trôi qua. Điều này đảm bảo rằng các trình giả lập không có khả năng tiến đồng hồ thực tế sẽ bị kẹt. Một điểm đáng chú ý là biến thể này tích hợp các bộ đệm chuỗi lớn chứa văn bản được sao chép từ blog của OpenAI về tạo ảnh và trang web của Pega AI.

Những chuỗi này không có mục đích chức năng nào ngoài việc thổi phồng kích thước tệp nhị phân và cung cấp nội dung vô nghĩa cho các so sánh chuỗi bị che khuất, tiêu tốn chu kỳ xử lý mà không ảnh hưởng đến logic cốt lõi.

Giao Thức Giao Tiếp C2 Đã Cập Nhật

Mã độc duy trì giao tiếp với máy chủ chỉ huy và kiểm soát (C2) tại 146.70.29[.]229:443, sử dụng một lớp gói giao thức giống TLS được thiết kế để hòa trộn với lưu lượng mạng hợp pháp. Mỗi gói tin bắt đầu bằng các byte cố định “17 03 03” (TLS 1.2 Application Data), sau đó là trường độ dài hai byte. Tuy nhiên, chỉ byte thấp được xử lý, giới hạn hiệu quả các payload ở mức 255 byte.

Giao thức giao tiếp sử dụng mã hóa XOR với khóa lăn 256 byte để che giấu payload. Sau khi loại bỏ tiêu đề giống TLS, cấu trúc payload đã giải mã bao gồm một trường loại/trạng thái, một byte mã bổ sung và thân thông điệp. Cách tiếp cận này duy trì khung giao tiếp được thiết lập trong các biến thể ToneShell backdoor trước đó, đồng thời tích hợp các tính năng được cập nhật.

Cơ Chế Nhận Dạng Máy Tính Độc Nhất

Backdoor tiếp tục tạo ra các định danh máy tính độc đáo thông qua việc tạo GUID. Nó cố gắng đọc các định danh hiện có từ “C:ProgramDataSystemRuntimeLag.inc” trước khi tạo các định danh mới bằng cách sử dụng CoCreateGuid hoặc quay trở lại bộ tạo số ngẫu nhiên tuyến tính (linear congruential generator – LCG) nội bộ khi cần.

Mục Tiêu Địa Lý và Bối Cảnh Chiến Lược của Cuộc Tấn Công Mạng

Việc Mustang Panda liên tục nhắm mục tiêu vào Myanmar thông qua biến thể ToneShell backdoor này phản ánh những lợi ích địa chính trị rộng lớn hơn của Trung Quốc trong khu vực. Phần mềm độc hại được phân phối thông qua các tệp lưu trữ có tên tệp tiếng Myanmar, cụ thể là “TNLA và các lực lượng cách mạng khác”.

Điều này cho thấy sự tập trung bền vững vào cảnh quan chính trị và an ninh của Myanmar. Việc nhắm mục tiêu liên tục này nhấn mạnh cách các hoạt động mạng phục vụ như các công cụ để duy trì ảnh hưởng ở các quốc gia láng giềng có tầm quan trọng chiến lược, đặc biệt là trong các lĩnh vực liên quan đến an ninh biên giới, phát triển cơ sở hạ tầng và giám sát chính trị.

Chiến Lược Phát Hiện và Giảm Thiểu Để Bảo Vệ Hệ Thống

Các Điểm Nhận Diện Chính

Các đội ngũ an ninh cần tập trung vào việc phát hiện các cơ chế duy trì quyền truy cập cụ thể được biến thể này sử dụng. Các điểm chính cần giám sát bao gồm:

• Theo dõi việc tạo các tác vụ theo lịch trình có tên “dokanctl”.
• Kiểm tra các hoạt động đáng ngờ trong các thư mục AppData có tên ngẫu nhiên gồm sáu ký tự.
• Phát hiện mutex “GlobalSingleCorporation12AD8B” trên hệ thống.
• Giám sát giao tiếp mạng tới địa chỉ C2 đã xác định.

Yêu Cầu Phân Tích Nâng Cao

Các kỹ thuật chống phân tích tinh vi được biến thể này sử dụng cho thấy sự cần thiết của các khả năng phân tích động tiên tiến. Các hệ thống này phải có khả năng tính toán các độ trễ thực thi kéo dài và các luồng điều khiển bị che giấu.

Các tổ chức nên triển khai giám sát hành vi có thể xác định các thao tác tệp tin và các mẫu thời gian đặc trưng liên quan đến họ phần mềm độc hại này. Đây là các phương pháp hiệu quả để phát hiện xâm nhập và đối phó với các cuộc tấn công tinh vi.

Chỉ Số Thỏa Hiệp (IOCs) của ToneShell Backdoor

Dưới đây là các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến biến thể ToneShell backdoor mới nhất, có thể được sử dụng để phát hiện và ngăn chặn:

• Mutex:GlobalSingleCorporation12AD8B
• C2 Server:146.70.29[.]229:443
• Scheduled Task Name:dokanctl
• Executable Path Pattern:%APPDATA%<random-6-chars>svchosts.exe
• Unique Identifier File:C:ProgramDataSystemRuntimeLag.inc