## ToneShell Arka Kapısı ve Kernel-Modu Yükleyici
Çin merkezli siber casusluk operasyonları kapsamında görülen ToneShell arka kapısının yeni bir örneği, devlet kurumlarına yönelik saldırılarda kernel-modu yükleyici aracılığıyla dağıtılmıştır. Bu arka kapı, Mustang Panda grubu olarak bilinen ve genellikle hükümet ajansları, sivil toplum kuruluşları ve düşünce kuruluşları gibi yüksek profilli hedefleri hedef alan siber tehdit aktörlerine atfedilmektedir.
Kaspersky uzmanları, Asya’daki bilgisayar sistemlerinde tespit edilen kötü niyetli bir dosya sürücüsünü analiz ederek, bu yazılımın en azından Şubat 2025’ten beri Myanmar, Tayland ve diğer Asya ülkelerinde hükümet kuruluşlarına karşı kampanya yürütmek için kullanıldığını ortaya koymuştur.
### Kernel-Modu Rootkit’in Yükselişi
Yeni ToneShell arka kapısının çalışmasını sağlamak için kullanılan mini-filtre sürücüsü ProjectConfiguration.sys olarak adlandırılmaktadır. Bu sürücü, 2012-2015 yılları arasında geçerli olan ve Guangzhou Kingteller Technology Co., Ltd. tarafından verilmiş bir çalınmış ya da sızdırılmış sertifika ile imzalanmıştır.
Mini filtreler, Windows dosya sistemi I/O yığınına entegre olan kernel-modu sürücüleridir. Bu sürücüler, dosya işlemlerini incelemesine, değiştirmesine veya engellemesine olanak tanır. Güvenlik yazılımları ve veri yedekleme araçları genellikle bu tür sürücüleri kullanır. ProjectConfiguration.sys sürücüsü, kendi içerisinde iki kullanıcı-modu shell kodunu gömerek, bu kodları ayrı kullanıcı-modu iş parçacıkları olarak çalıştırmak için enjekte etmektedir.
### Eşsiz Gizlilik ve Erişim Engelleyici Mekanizmalar
Yeni ToneShell örneğinin en dikkat çekici özelliklerinden biri, statik analizden kaçınmak için gereken çekirdek API’lerini çalışma zamanında çözümlerken yüklenmiş çekirdek modüllerini sıralayıp fonksiyon hash’leriyle eşleştirmesidir. Bu sayede, güvenlik araçlarından gizlenmeyi başarabilmektedir. Ayrıca, dosyaların silinmesi veya yeniden adlandırılması gibi dosya sistemi işlemlerini denetlemesi sayesinde, bu tür işlemler hedef alındığında kendi isteği doğrultusunda engelleme yapmaktadır.
Sürücü, hizmetle ilgili kayıt defteri anahtarlarını korumak için bir kayıt defteri geri çağrısı kaydeder ve bu anahtarları oluşturma ya da açma girişimlerini engeller. Güvenlik yazılımlarına karşı öncelik kazanmak için, anti-virüs yazılımlarının ayrılmış alanının üstünde bir mini filtre yüksekliği seçmektedir.
### Yeni ToneShell Varyantının Özellikleri
Kaspersky tarafından analiz edilen yeni ToneShell varyantı, değişiklikler ve gizlilik artırıcı iyileştirmeler içermektedir. Bu yeni versiyon, daha önce kullanılan 16 baytlık GUID yerine 4 baytlık bir ana bilgisayar kimlik belirleme şemasına geçmiştir. Ayrıca, sahte TLS başlıkları ile ağ trafiğini obfuscate etmekte ve bu sayede izlenmesini zorlaştırmaktadır.
Uzaktan desteklenen komutlar arasında dosya indirme ve yükleme, geçici dosya oluşturma ve uzaktan bir shell kurma gibi işlemler bulunmaktadır. Uzmanlar, Kaspersky’nin raporuna göre, bellek forensik analizi yapmanın, yeni kernel-modu enjektörüne sahip ToneShell enfeksiyonlarını gün yüzüne çıkarmada kilit önemi olduğunu vurgulamaktadır.
## Sonuç ve Öneriler
Mustang Panda siber casusluk grubuna atfedilen bu yeni ToneShell örneği, grubun taktik, teknik ve prosedürlerini geliştirerek operasyonel gizliliğini artırdığını göstermektedir. Kurumların, Mustang Panda saldırılarını tespit etmek ve bunlara karşı savunma geliştirmek amacıyla belirli göstergeleri (IoCs) takip etmeleri önemlidir.
Güvenlik şirketleri, bu tür tehditlerle başa çıkmak için sürekli güncellenen savunma stratejileri ve sağlam bir siber güvenlik altyapısı geliştirmelidir. Unutulmamalıdır ki, modern tehditler sürekli evrim geçirmekte ve var olan teknolojilerin etrafından dolaşarak hedeflerine ulaşmanın yollarını bulmaktadır.
