Slevová nabídka pro více licencí
Databáze hrozeb Malware Zadní vrátka TONESHELL

Zadní vrátka TONESHELL

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT), Zadní vrátka
Přeložit do:

Špionážní skupina napojená na Čínu a pravděpodobně sponzorovaná státem, kterou obránci internetu dlouhodobě sledují, vylepšila svou sadu nástrojů. Výzkumníci sledující tento klastr (interně sledovaný jako Hive0154) pozorovali vylepšenou rodinu backdoorů s názvem TONESHELL a dříve nehlášeného červa šířícího se přes USB s názvem SnakeDisk. Tento aktér je aktivní nejméně od roku 2012 a je sledován pod mnoha názvy v oboru, včetně BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon a sledovacího štítku Hive0154.

TONESHELL — Původ a předchozí použití

Malware TONESHELL se poprvé objevil ve veřejných zprávách v listopadu 2022 po sérii útoků pozorovaných mezi květnem a říjnem 2022, které postihly cíle v Myanmaru, Austrálii, na Filipínách, v Japonsku a na Tchaj-wanu. Historicky operátoři spouštěli TONESHELL prostřednictvím bočního načítání DLL; hlavní úlohou malwaru v těchto operacích bylo načítat a instalovat následné datové zátěže ze serveru ovládaného operátorem.

ÚTOČNÉ ŘETĚZCE A PŘÍBUZNÉ RODINY

Spear-phishing zůstává preferovaným vektorem pro počáteční přístup: cílené e-maily odesílají zavaděče, které následně spouštějí rodiny kódů, jako je PUBLOAD nebo TONESHELL. PUBLOAD se chová podobně jako TONESHELL a byl pozorován při načítání shellcode z infrastruktury C2 pomocí požadavků HTTP POST. Jakmile se zavaděč spustí, jsou načteny a spuštěny následné fáze pro rozšíření přístupu nebo jeho zachování.

VARIANTY TÓNOVÉHO KOŽE

Výzkumníci označili nově pozorované sestavy TONESHELL8 a TONESHELL9. Mezi klíčové změny patří:

  • Schopnost směrovat provoz C2 přes lokálně nakonfigurované proxy servery, což pomáhá smíchat provoz s legitimním podnikovým provozem a snižuje detekci v síti.
  • Podpora pro současné spouštění dvou reverzních shellů, což operátorům poskytuje redundantní interaktivní přístup k napadeným hostitelům.
  • V TONESHELL8 je zahrnutí zdánlivě irelevantního nebo „nevyžádaného“ kódu převzatého z webových stránek ChatGPT OpenAI, vloženého do funkcí malwaru – pravděpodobná technika, která brání statické analýze a obchází signatury, které se spoléhají na očekávané vzory kódu.

PROVOZNÍ DOPAD A DŮSLEDKY

Tento vývoj ukazuje důraz na nenápadnost, odolnost a přesné cílení. Geografické kontroly provádění (SnakeDisk), použití proxy a duální interaktivní kanály zvyšují flexibilitu operátora a zároveň komplikují detekci a reakci. Vkládání nesouvisejícího kódu z webu do binárních sestavení je záměrný krok proti analýze, který může zpomalit triáž založené na nástrojích.

Trendy

Nejvíce shlédnuto

Načítání...