Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Задна врата TONESHELL

Задна врата TONESHELL

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT), Задни вратиг
Превод на:

Свързана с Китай, вероятно спонсорирана от държавата шпионска група, отдавна следена от защитниците на интернет, е подобрила своя инструментариум. Изследователи, следящи клъстера (проследен вътрешно като Hive0154), са наблюдавали подобрено семейство бекдор, наречено TONESHELL, и несъобщен досега USB-разпространяващ се червей, наречен SnakeDisk. Актьорът е активен поне от 2012 г. и е проследяван под много индустриални имена, включително BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon и проследяващия етикет Hive0154.

TONESHELL — Произход и предишна употреба

TONESHELL се появи за първи път в публичните съобщения през ноември 2022 г. след серия от прониквания, наблюдавани между май и октомври 2022 г., които засегнаха цели в Мианмар, Австралия, Филипините, Япония и Тайван. В миналото операторите са стартирали TONESHELL чрез странично зареждане на DLL; основната роля на зловредния софтуер в тези операции е била да извлича и инсталира последващи полезни товари от контролиран от оператор сървър.

АТАКОВИ ВЕРИГИ И СВЪРЗАНИ СЕМЕЙСТВА

Spear-phishing остава предпочитаният вектор за първоначален достъп: целевите имейли пускат loaders, които след това стартират семейства като PUBLOAD или TONESHELL. PUBLOAD се държи подобно на TONESHELL и е наблюдаван при извличане на shellcode от C2 инфраструктурата чрез HTTP POST заявки. След като loader-ът се стартира, следващите етапи се извличат и изпълняват, за да се разшири достъпът или да се запази достъпът.

ВАРИАНТИ НА ТОНА

Изследователите са обозначили новонаблюдаваните структури TONESHELL8 и TONESHELL9. Ключовите промени включват:

  • Възможността за маршрутизиране на C2 трафик през локално конфигурирани прокси сървъри, което помага за смесването на трафика с легитимен корпоративен трафик и намалява мрежовото откриване.
  • Поддръжка за едновременно изпълнение на две обратни обвивки, предоставяща на операторите излишен интерактивен достъп до компрометирани хостове.
  • В TONESHELL8, включването на очевидно неподходящ или „нежелан“ код, взет от уеб страниците на OpenAI ChatGPT, вграден във функции на зловреден софтуер – вероятна техника за възпрепятстване на статичния анализ и избягване на сигнатури, които разчитат на очаквани модели на код.

ОПЕРАТИВНО ВЪЗДЕЙСТВИЕ И ПОСЛЕДСТВИЯ

Тези разработки показват акцент върху скритостта, устойчивостта и прецизното насочване. Географските проверки за изпълнение (SnakeDisk), използването на прокси и двойните интерактивни канали увеличават гъвкавостта на оператора, като същевременно усложняват откриването и реагирането. Вмъкването на несвързан уеб код в двоични компилации е умишлена стъпка срещу анализа, която може да притъпи инструментално-базирано сортиране.

Тенденция

Най-гледан

Зареждане...