في عالم الأمن السيبراني، تبرز مجموعة موستانغ باندا كأحد التهديدات المتطورة، حيث تستخدم تقنيات متقدمة مثل الجذر الموقّع لتحميل برمجيات خبيثة.
مجموعة موستانغ باندا تستخدم الجذر الموقّع لتحميل برمجية TONESHELL الخبيثة
في 30 ديسمبر 2026، اكتشفت مجموعة القرصنة الصينية المعروفة باسم موستانغ باندا استخدام سائق جذر غير موثق لتحميل نوع جديد من البرمجيات الخبيثة يسمى TONESHELL خلال هجوم إلكتروني تم رصده في منتصف عام 2025، والذي استهدف كيانًا غير محدد في آسيا.
تأتي هذه النتائج من شركة كاسبرسكي، التي لاحظت وجود هذه البرمجية الخبيثة الجديدة في حملات التجسس الإلكتروني التي شنتها مجموعة القرصنة ضد المنظمات الحكومية في جنوب شرق وشرق آسيا، وخاصة في ميانمار وتايلاند.
قالت الشركة الروسية للأمن السيبراني: “ملف السائق موقّع بشهادة رقمية قديمة مسروقة أو مسربة، ويسجل كسائق ميني فلتر على الأجهزة المصابة.” الهدف النهائي هو حقن برمجية خبيثة في عمليات النظام وتوفير الحماية للملفات الضارة وعمليات المستخدم ومفاتيح السجل.
تفاصيل البرمجية الخبيثة TONESHELL
الحمولة النهائية التي تم نشرها كجزء من الهجوم هي TONESHELL، وهي برمجية خبيثة ذات قدرات عكسية لتحميل برمجيات خبيثة أخرى على الأجهزة المخترقة. تم ربط استخدام TONESHELL بمجموعة موستانغ باندا منذ أواخر عام 2022 على الأقل.
في سبتمبر 2025، تم ربط المهاجمين بهجمات تستهدف كيانات تايلاند باستخدام TONESHELL ودودة USB تُدعى TONEDISK (المعروفة أيضًا باسم WispRider) التي تستخدم الأجهزة القابلة للإزالة كوسيلة توزيع لبرمجية خبيثة تُعرف باسم Yokai.
يُقال إن بنية التحكم في الأوامر (C2) المستخدمة لـ TONESHELL تم إنشاؤها في سبتمبر 2024، على الرغم من وجود دلائل على أن الحملة نفسها لم تبدأ حتى فبراير 2025. الطريق الدقيق للوصول الأول المستخدم في الهجوم غير واضح، ويُشتبه في أن المهاجمين استغلوا أجهزة مخترقة مسبقًا لنشر السائق الضار.
خصائص السائق الضار
ملف السائق (“ProjectConfiguration.sys”) موقّع بشهادة رقمية من شركة Guangzhou Kingteller Technology Co., Ltd، وهي شركة صينية تعمل في توزيع وتوفير أجهزة الصراف الآلي. كانت الشهادة صالحة من أغسطس 2012 حتى 2015.
نظرًا لوجود عناصر ضارة أخرى غير مرتبطة موقعة بنفس الشهادة الرقمية، يُعتقد أن المهاجمين استغلوا شهادة مسربة أو مسروقة لتحقيق أهدافهم. يأتي السائق الضار مزودًا بمجموعتين من الشيفرات التي يتم تنفيذها كخيوط منفصلة في وضع المستخدم.
- حل واجهات برمجة التطبيقات المطلوبة ديناميكيًا في وقت التشغيل باستخدام خوارزمية تجزئة لمطابقة عناوين واجهات برمجة التطبيقات المطلوبة.
- مراقبة عمليات حذف الملفات وإعادة تسميتها لمنع نفسه من الإزالة أو إعادة التسمية.
- رفض محاولات إنشاء أو فتح مفاتيح السجل التي تتطابق مع قائمة محمية من خلال إعداد روتين RegistryCallback والتأكد من أنه يعمل عند ارتفاع 330024 أو أعلى.
- التدخل في الارتفاع المخصص لـ WdFilter.sys، وهو سائق Microsoft Defender، وتغييره إلى صفر (لديه قيمة افتراضية تبلغ 328010)، مما يمنع تحميله في مجموعة I/O.
- اعتراض العمليات المتعلقة بالعمليات ورفض الوصول إذا كانت العملية تستهدف أي عملية موجودة في قائمة معرفات العمليات المحمية أثناء تشغيلها.
- إزالة حماية الجذر لتلك العمليات بمجرد انتهاء التنفيذ.
قالت كاسبرسكي: “تخصص Microsoft النطاق 320000–329999 لمجموعة ترتيب تحميل FSFilter Anti-Virus”. “الارتفاع الذي اختاره البرنامج الضار يتجاوز هذا النطاق. نظرًا لأن الفلاتر ذات الارتفاعات المنخفضة تجلس أعمق في مجموعة I/O، فإن السائق الضار يعترض عمليات الملفات قبل مكونات الأمان المشروعة، مما يسمح له بتجاوز الفحوصات الأمنية.”
تم تصميم السائق في النهاية لإسقاط حمولتين في وضع المستخدم، واحدة منها تولد عملية “svchost.exe” وتحقن شيفرة صغيرة تسبب تأخير. الحمولة الثانية هي برمجية TONESHELL الخبيثة التي يتم حقنها في نفس عملية “svchost.exe”.
بمجرد إطلاقها، تتصل البرمجية الخبيثة بخادم C2 (“avocadomechanism[.]com” أو “potherbreference[.]com”) عبر TCP على المنفذ 443، باستخدام قناة الاتصال لتلقي الأوامر التي تسمح لها بـ:
- إنشاء ملف مؤقت للبيانات الواردة (0x1).
- تنزيل ملف (0x2 / 0x3).
- إلغاء التنزيل (0x4).
- إنشاء قشرة بعيدة عبر الأنبوب (0x7).
- استقبال أمر من المشغل (0x8).
- إنهاء القشرة (0x9).
- رفع ملف (0xA / 0xB).
- إلغاء الرفع (0xC)، و
- إغلاق الاتصال (0xD).
يمثل هذا التطور المرة الأولى التي يتم فيها تسليم TONESHELL من خلال محمل في وضع الجذر، مما يسمح له بتخفي نشاطه عن أدوات الأمان. تشير النتائج إلى أن السائق هو الإضافة الأحدث إلى مجموعة أدوات أكبر ومتطورة تستخدمها مجموعة موستانغ باندا للحفاظ على الاستمرارية وإخفاء برمجيتها الخبيثة.
تعتبر التحليلات الجنائية للذاكرة أساسية لتحليل الإصابات الجديدة لـ TONESHELL، حيث تنفذ الشيفرة بالكامل في الذاكرة، كما ذكرت كاسبرسكي، مشيرة إلى أن اكتشاف الشيفرة المحقونة هو مؤشر حاسم على وجود البرمجية الخبيثة على الأجهزة المخترقة.
“تظهر عمليات HoneyMyte في عام 2025 تطورًا ملحوظًا نحو استخدام محقنات في وضع الجذر لنشر TONESHELL، مما يحسن من كلاً من التخفي والمرونة”، اختتمت الشركة.
“لإخفاء نشاطها بشكل أكبر، يقوم السائق أولاً بنشر مكون صغير في وضع المستخدم يتولى خطوة الحقن النهائية. كما يستخدم تقنيات تشويش متعددة، وروتينات رد الاتصال، وآليات الإشعار لإخفاء استخدام واجهات برمجة التطبيقات وتتبع نشاط العمليات والسجل، مما يعزز في النهاية دفاعات البرمجية الخبيثة.”
تتطلب هذه التطورات في البرمجيات الخبيثة وعيًا متزايدًا من قبل المؤسسات الحكومية والخاصة على حد سواء، لضمان حماية أنظمتها من التهديدات المتزايدة.
