HoneyMyte APT và sự tiến hóa nguy hiểm: Triển khai ToneShell thông qua driver kernel-mode
Tổng quan về chiến dịch tấn công
Vào giữa năm 2025, các nhà nghiên cứu an ninh đã phát hiện một driver độc hại xuất hiện trên nhiều hệ thống máy tính tại châu Á. Driver này được ký bằng một chứng chỉ số đã cũ, bị đánh cắp hoặc bị rò rỉ, và được đăng ký hoạt động như một mini-filter driver trong hệ điều hành Windows.
Mục tiêu chính của driver độc hại là thiết lập một backdoor Trojan vào các tiến trình hệ thống, đồng thời cung cấp cơ chế bảo vệ mạnh mẽ cho các tệp tin độc hại, tiến trình user-mode và khóa registry, giúp chúng tránh khỏi sự phát hiện và can thiệp của các giải pháp bảo mật.
Phân tích cho thấy payload cuối cùng do driver này triển khai là một biến thể mới của backdoor ToneShell. Backdoor này kết nối đến máy chủ của kẻ tấn công, cung cấp reverse shell cùng nhiều khả năng điều khiển từ xa khác. ToneShell là công cụ được biết đến là chỉ được sử dụng bởi nhóm APT HoneyMyte (còn được gọi là Mustang Panda hoặc Bronze President), thường xuất hiện trong các chiến dịch gián điệp mạng nhắm vào cơ quan chính phủ, đặc biệt tại khu vực Đông Nam Á và Đông Á.
Các máy chủ điều khiển (C2) của ToneShell trong chiến dịch này được đăng ký thông qua dịch vụ NameCheap vào tháng 9/2024. Dựa trên dữ liệu telemetry, nhiều khả năng các cuộc tấn công đã bắt đầu từ tháng 2/2025. Trong số các nạn nhân bị ảnh hưởng, Myanmar và Thái Lan là hai quốc gia bị nhắm mục tiêu nhiều nhất.
Đáng chú ý, hầu hết các hệ thống bị xâm nhập trước đó đã từng bị cài cắm các công cụ khác của HoneyMyte như ToneDisk (USB worm), PlugX và các phiên bản ToneShell cũ. Mặc dù vector truy cập ban đầu chưa được xác định rõ, nhiều khả năng kẻ tấn công đã lợi dụng các máy đã bị xâm nhập từ trước để triển khai driver độc hại này.
Chứng chỉ số bị xâm phạm
Driver độc hại được ký bằng chứng chỉ số của Guangzhou Kingteller Technology Co., Ltd., với số serial:
08 01 CC 11 EB 4D 1D 33 1E 3D 54 0C 55 A4 9F 7F
Chứng chỉ này có hiệu lực từ tháng 8/2012 đến năm 2015. Ngoài driver được đề cập trong chiến dịch, các nhà nghiên cứu còn phát hiện nhiều mã độc khác cũng được ký bằng cùng chứng chỉ này, không nhất thiết liên quan trực tiếp đến chiến dịch hiện tại. Điều này cho thấy chứng chỉ đã bị lạm dụng bởi nhiều tác nhân đe dọa khác nhau.
Phân tích kỹ thuật
Thông tin cơ bản
Trên hệ thống nạn nhân, driver độc hại có tên:
ProjectConfiguration.sys
Service tương ứng trong registry cũng sử dụng cùng tên ProjectConfiguration.
Bên trong driver có chứa hai shellcode chạy ở user-mode, được nhúng trực tiếp trong section .data của file nhị phân. Các shellcode này được thực thi dưới dạng hai thread riêng biệt, trong khi chức năng rootkit của driver bảo vệ cả module kernel và các tiến trình user-mode mà backdoor được truyền vào.
Che giấu hành vi bằng cơ chế resolve API động
Để làm rối phân tích, driver không gọi trực tiếp các API hệ thống mà sử dụng kỹ thuật resolve API động dựa trên giá trị hash.
Cụ thể, driver gọi ZwQuerySystemInformation với tham số SYSTEM_MODULE_INFORMATION để lấy địa chỉ base của các module kernel quan trọng như ntoskrnl.exe và fltmgr.sys. Sau đó, nó duyệt danh sách module, xác định đúng DLL cần thiết và sử dụng một thuật toán hash đơn giản để ánh xạ từ hash sang địa chỉ API tương ứng.
Hai biến thể seed của thuật toán hash này được sử dụng riêng cho shellcode và payload cuối.
Cơ chế tự bảo vệ driver
Bảo vệ file driver
Driver đăng ký với Filter Manager thông qua FltRegisterFilter và thiết lập callback tiền xử lý (pre-operation callback) cho các yêu cầu I/O liên quan đến:
Đổi tên file
Xóa file
Cụ thể, khi phát hiện các FileInformationClass như FileRenameInformation, FileDispositionInformation, FileRenameInformationEx, v.v., driver sẽ chủ động trả về STATUS_ACCESS_DENIED, khiến mọi nỗ lực xóa hoặc đổi tên driver đều thất bại.
Bảo vệ registry
Driver xây dựng danh sách các khóa registry cần bảo vệ, bao gồm:
ProjectConfigurationProjectConfiguration\InstancesProjectConfiguration Instance
Sau đó, nó đăng ký callback registry bằng CmRegisterCallbackEx. Để làm điều này, driver cần chọn một altitude hợp lệ. Thay vì dùng altitude chuẩn, malware bắt đầu từ giá trị 330024, cao hơn vùng altitude dành cho driver antivirus (320000–329999).
Nếu altitude bị trùng, nó sẽ tự động tăng giá trị và thử lại cho đến khi đăng ký thành công. Nhờ altitude cao, driver độc hại chặn các thao tác registry trước cả driver antivirus.
Thậm chí, malware còn chỉnh sửa altitude của WdFilter (Microsoft Defender) về 0, khiến driver bảo mật này không thể được nạp.
Bảo vệ tiến trình user-mode
Malware duy trì một danh sách các PID được bảo vệ, khởi tạo với 32 slot trống. Thông qua ObRegisterCallbacks, nó chặn mọi nỗ lực tạo hoặc nhân bản handle đến các tiến trình nằm trong danh sách này bằng cách đặt DesiredAccess = 0.
Ngoài ra, callback đăng ký bằng PsSetCreateProcessNotifyRoutine sẽ theo dõi việc tạo và hủy tiến trình, cho phép malware gỡ bỏ bảo vệ khi backdoor hoàn thành nhiệm vụ, tránh để lại dấu vết lâu dài.
Quy trình truyền payload
Driver triển khai hai payload user-mode:
Payload thứ nhất
Tạo một tiến trình
svchost.exemớiTruyền shellcode tạo độ trễ
Ghi PID của tiến trình này ra file
Payload thứ hai
Chính là backdoor ToneShell
Được truyền vào tiến trình
svchostvừa tạo
Driver sẽ tìm một tiến trình chạy với quyền SYSTEM, tùy biến payload bằng tên event, tên file và dữ liệu ngẫu nhiên, sau đó truyền mã bằng cách attach thread, cấp phát bộ nhớ và tạo thread mới.
Sau khi ToneShell hoàn tất, driver gỡ PID khỏi danh sách bảo vệ, chờ 10 giây và cố gắng kết thúc tiến trình.
Backdoor ToneShell
Đây là lần đầu tiên ToneShell được triển khai thông qua loader kernel-mode, giúp nó tránh hoàn toàn các cơ chế giám sát ở user-mode.
Thay vì tạo GUID 16 byte như các phiên bản cũ, biến thể này sử dụng file:
C:\ProgramData\MicrosoftOneDrive.tlb
File này chứa marker 4 byte đóng vai trò định danh nạn nhân. Nếu file không tồn tại, malware sẽ tạo ID mới dựa trên tên máy, tick count và PRNG.
ToneShell kết nối tới hai máy chủ C2:
avocadomechanism[.]compotherbreference[.]com
Giao tiếp diễn ra qua TCP cổng 443, giả mạo TLS 1.3 bằng header 0x17 0x03 0x04, sau đó truyền dữ liệu mã hóa bằng XOR rolling key.
Các chức năng hỗ trợ bao gồm:
Upload / download file
Remote shell
Quản lý phiên kết nối
Kết luận
Với độ tin cậy cao, chiến dịch này được xác định là do nhóm APT HoneyMyte thực hiện. Việc sử dụng ToneShell cùng với PlugX và ToneDisk củng cố mạnh mẽ nhận định này.
Các hoạt động trong năm 2025 cho thấy HoneyMyte đã nâng cấp đáng kể năng lực kỹ thuật, chuyển sang sử dụng kernel-mode driver để triển khai backdoor, tăng khả năng ẩn mình và chống phân tích.
Do toàn bộ shellcode hoạt động thuần trong bộ nhớ, việc điều tra forensic bộ nhớ là yếu tố then chốt để phát hiện xâm nhập.
Khuyến nghị
Trước mức độ tinh vi ngày càng cao của các chiến dịch APT do HoneyMyte triển khai – đặc biệt là việc lạm dụng driver kernel-mode ký số hợp lệ để cài cắm backdoor ToneShell – phía FPT Threat Intelligence khuyến nghị các tổ chức cần áp dụng cách tiếp cận phòng thủ nhiều lớp (defense-in-depth), kết hợp giữa kiểm soát kỹ thuật, giám sát chủ động và năng lực phản ứng sự cố:
1. Tăng cường kiểm soát driver kernel-mode
Bật bắt buộc Driver Signature Enforcement trên tất cả hệ thống Windows, đồng thời:
Triển khai Windows Defender Application Control (WDAC) hoặc Device Guard để chỉ cho phép driver từ các nhà phát hành tin cậy.
Thiết lập danh sách chặn (blocklist) đối với các chứng chỉ ký driver đã hết hạn hoặc có tiền sử bị lạm dụng.
Giám sát việc nạp driver động:
Theo dõi sự kiện nạp driver thông qua ETW, Sysmon (Event ID 6) hoặc telemetry từ EDR.
Cảnh báo khi xuất hiện driver mini-filter có altitude bất thường (ngoài dải antivirus chuẩn).
Thực hiện kiểm kê định kỳ driver đang tồn tại trên hệ thống:
So sánh hash và chứng chỉ với baseline đã phê duyệt.
Điều tra ngay các driver không rõ nguồn gốc hoặc có tên giả mạo cấu hình hệ thống.
2. Giám sát hành vi tiến trình và injection
Theo dõi các dấu hiệu:
svchost.exeđược tạo bất thường từ tiến trình kernel-relatedTiến trình SYSTEM có thread được tạo từ vùng nhớ RWX
Cấu hình EDR để:
Phát hiện process injection từ kernel → user-mode
Cảnh báo khi tiến trình bị tước quyền truy cập handle (DesiredAccess = 0)
3. Giám sát phát hiện các kết nối bất thường
Thiết lập giám sát lưu lượng TCP/443 không chuẩn:
Phát hiện kết nối có header TLS giả (ví dụ không hoàn chỉnh, không handshake chuẩn).
Cảnh báo lưu lượng sử dụng raw TCP nhưng giả mạo TLS 1.3.
Chặn và theo dõi các IoC:
Domain C2 đã biết
DNS newly registered domain (NRD) có tuổi đời ngắn
Áp dụng TLS inspection (nếu phù hợp với chính sách):
- Nhận diện lưu lượng mã hóa bất thường không tuân theo chuẩn TLS.
4. Củng cố bảo mật endpoint
Đảm bảo:
EDR hoạt động với tamper protection bật
Quyền admin bị kiểm soát chặt chẽ (least privilege)
Hạn chế:
Việc sử dụng tài khoản SYSTEM / Local Administrator cho các tác vụ không cần thiết
Thiết bị USB không kiểm soát (do tiền sử ToneDisk USB worm)
5. Tăng cường giám sát registry và hệ thống
Theo dõi:
Thay đổi bất thường đối với registry liên quan driver, filter, altitude
Việc tạo khóa registry có tên giả mạo cấu hình hệ thống
Thiết lập baseline registry cho hệ thống quan trọng và cảnh báo khi có sai lệch.
6. Nâng cao nhận thức và quản trị rủi ro
Đào tạo nhân sự kỹ thuật:
Hiểu rõ mối đe dọa từ driver ký số hợp lệ nhưng bị lạm dụng
Nhận thức về tấn công APT dai dẳng, không phụ thuộc malware thông thường
Thực hiện threat hunting định kỳ:
- Tập trung vào kernel, memory và hành vi thay vì chỉ dựa trên signature.
7. Tích hợp và tận dụng SIEM / Threat Intelligence
Đưa IoC, TTP của HoneyMyte vào SIEM để:
Correlate sự kiện driver + process + network
Phát hiện sớm chiến dịch gián điệp kéo dài
Kết hợp Threat Intelligence Feed:
Theo dõi hạ tầng mới của HoneyMyte
Cập nhật kỹ thuật, biến thể ToneShell mới
Indicators of Compromise (IoC)
36f121046192b7cac3e4bec491e8f1b5 AppvVStram_.sys
fe091e41ba6450bcf6a61a2023fe6c83 AppvVStram_.sys
abe44ad128f765c14d895ee1c8bad777 ProjectConfiguration.sys
avocadomechanism[.]com ToneShell C2
potherbreference[.]com ToneShell C2
