중국의 사이버 스파이 그룹인 '머스탱 판다'가 정부 기관을 대상으로 커널 모드 로더를 통해 새로운 '톤셸' 백도어를 전달하는 공격을 진행하였습니다. 이 백도어는 주로 정부 기관, 비정부기구, 싱크탱크 등을 대상으로 하는 머스탱 판다 그룹에 의해 사용되었습니다. 카스퍼스키의 보안 연구원들은 아시아의 컴퓨터 시스템에서 발견된 악성 파일 드라이버를 분석하였고, 이것이 미얀마, 태국 등 아시아 국가의 정부 기관을 대상으로 2025년 2월 이후부터 사용된 것임을 밝혔습니다.
카스퍼스키에 따르면, 새로운 톤셸 백도어는 'ProjectConfiguration.sys'라는 미니 필터 드라이버를 통해 배포되었으며, 이 드라이버는 2012년부터 2015년 사이에 발행된, 중국의 광저우 킹텔러 기술 주식회사에게 발행된 인증서로 서명되었습니다. 이 드라이버는 두 개의 사용자 모드 쉘코드를 내장하고 있으며, 이들은 각각 별도의 사용자 모드 스레드로 실행되어 사용자 모드 프로세스에 주입됩니다. 또한, 드라이버는 미니 필터 드라이버로 등록되어 파일 시스템 작업을 감시하고, 드라이버 자체를 대상으로 하는 삭제 및 이름 변경 작업을 차단합니다.
카스퍼스키는 이 새로운 톤셸 백도어 변종이 머스탱 판다 사이버 스파이 그룹에 속한다고 확신하며, 이 그룹이 그들의 전략과 기술을 발전시켜 더욱 은밀하고 강력하게 작동하고 있다고 평가하였습니다. 이 보안 회사는 그들의 보고서에서 머스탱 판다의 침투를 탐지하고 방어하기 위한 표시자 목록을 제공하였습니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.