Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós TONESHELL Porta del darrere

TONESHELL Porta del darrere

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Portes del darrere
Traduir a:

Un grup d'espionatge alineat amb la Xina, probablement patrocinat per l'estat, rastrejat durant molt de temps pels defensors, ha actualitzat el seu conjunt d'eines. Els investigadors que segueixen el clúster (rastrejat internament com a Hive0154) han observat una família de portes del darrere millorada anomenada TONESHELL i un cuc de propagació USB no reportat anteriorment anomenat SnakeDisk. L'actor ha estat actiu des d'almenys el 2012 i està sent rastrejat sota molts noms de la indústria, com ara BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon i l'etiqueta de rastreig Hive0154.

TONESHELL — Origen i ús previ

TONESHELL va aparèixer per primera vegada en informes públics el novembre de 2022 després d'una sèrie d'intrusions observades entre maig i octubre de 2022 que van afectar objectius a Myanmar, Austràlia, Filipines, Japó i Taiwan. Històricament, els operadors han llançat TONESHELL mitjançant la càrrega lateral de DLL; la funció principal del programari maliciós en aquestes operacions era obtenir i instal·lar càrregues útils posteriors des d'un servidor controlat per l'operador.

CADENES D’ATAC I FAMÍLIES RELACIONADES

El spear-phishing continua sent el vector d'accés inicial preferit: els correus electrònics dirigits deixen anar carregadors que després llancen famílies com ara PUBLOAD o TONESHELL. PUBLOAD es comporta de manera similar a TONESHELL i s'ha observat que recupera codi shell de la infraestructura C2 mitjançant sol·licituds HTTP POST. Un cop s'executa el carregador, es recuperen i s'executen les etapes posteriors per ampliar l'accés o persistir.

VARIANTS DE TONESHELL

Els investigadors han etiquetat les noves versions observades com a TONESHELL8 i TONESHELL9. Els canvis clau inclouen:

  • La capacitat d'encaminar el trànsit C2 a través de servidors proxy configurats localment, cosa que ajuda a barrejar el trànsit amb el trànsit empresarial legítim i redueix la detecció basada en la xarxa.
  • Suport per executar dos shells inversos simultàniament, donant als operadors accés interactiu redundant als hosts compromesos.
  • A TONESHELL8, inclusió de codi aparentment irrellevant o "brossa" extret de les pàgines web ChatGPT d'OpenAI integrat en funcions de programari maliciós, una tècnica probable per dificultar l'anàlisi estàtica i evadir signatures que es basen en patrons de codi esperats.

IMPACTE I IMPLICACIONS OPERACIONALS

Aquests desenvolupaments mostren una èmfasi en la furtivitat, la resiliència i la precisió en la focalització. Les comprovacions d'execució geogràfica (SnakeDisk), l'ús de proxy i els canals interactius duals augmenten la flexibilitat de l'operador alhora que compliquen la detecció i la resposta. La inserció de codi web no relacionat en compilacions binàries és un pas deliberat en contra de l'anàlisi que pot entorpir el triatge basat en eines.

Tendència

Més vist

Carregant...