【安全资讯】ToneShell后门瞄准IISS国防峰会与会者，最新间谍活动曝光

概要：

全球战略与网络间谍活动再度交织，知名APT组织Mustang Panda重新活跃。根据Hunt.io的最新报告，研究人员发现ToneShell后门程序针对2024年在布拉格举行的国际战略研究所（IISS）国防峰会的与会者进行攻击。此次峰会汇聚了全球防务和安全领导人，成为网络间谍活动的目标。

主要内容：

Mustang Panda，又名Stately Taurus和Earth Preta，是一个知名的高级持续性威胁（APT）组织，历史上曾多次针对东南亚和东亚的政府组织发动攻击。其主要武器ToneShell后门程序，能够隐秘地渗透网络、窃取数据并执行恶意负载。在此次行动中，ToneShell后门程序被部署在IISS国防峰会的与会者中，这一峰会是讨论欧亚地区防务战略和安全问题的重要论坛。

研究人员在Hatching Triage平台上进行常规分析时，发现了一个名为“IISS PRAGUE DEFENCE SUMMIT (8 – 10 November 2024 ).exe”的可执行文件。进一步调查显示，该文件与ToneShell活动有关。恶意软件通过命令与控制（C2）服务器进行通信，使用了与ToneShell和PubLoad恶意软件相关的标志性字节“17 03 03”。攻击者使用了一个诱饵文件——IISS网站官方议程的精确复制品，诱使受害者相信文件的合法性。

恶意软件的投放程序伪装成PIF文件（程序信息文件），在打开时执行恶意代码。执行后，恶意软件通过创建注册表运行键和计划任务来建立持久性，确保系统重启后继续运行。恶意软件还投放了一个名为SFFWallpaperCore.exe的次级可执行文件和一个动态链接库（DLL）文件libemb.dll。网络流量分析显示，恶意软件通过端口443使用原始TCP与其C2服务器通信，模仿TLS以逃避检测。C2服务器由Topway Global Limited在香港托管，具有开放的80、443和3389端口。进一步调查发现了七个具有类似特征的服务器，表明这是同一威胁行为者的协调行动。