Back to Feed
总结
卡巴斯基近日披露,与中国关联的黑客组织“Mustang Panda”使用新型内核模式加载器部署ToneShell后门,针对缅甸、泰国等亚洲国家政府机构发起攻击。该恶意驱动程序通过拦截文件系统操作、干扰Microsoft Defender配置等方式规避检测。研究人员称这是首次发现ToneShell通过内核模式加载器投放,可绕过用户态监控并隐藏恶意活动。新变种还利用伪造TLS头混淆通信流量,支持远程shell、文件上传下载等多种控制命令,提升隐蔽性与持续控制能力。
正文
中国国家黑客组织利用内核级Rootkit隐藏ToneShell恶意软件活动 安全公司卡巴斯基近日披露,与中国关联的黑客组织"Mustang Panda"正使用一种新型内核模式加载器部署ToneShell后门程序,针对缅甸、泰国等亚洲国家政府机构发起攻击。该恶意驱动程序通过拦截文件系统操作、干扰Microsoft Defender配置等方式规避安全检测。 研究人员指出,这是首次发现ToneShell通过内核模式加载器投放,使其能够绑过用户态监控并隐藏恶意活动。新变种采用伪造TLS头进行流量混淆,支持远程shell、文件上传下载等多种命令。 来源: BleepingComputer
发布时间: