Rabattilbud med flere licenser
Trusseldatabase Malware TONESHELL Bagdør

TONESHELL Bagdør

Med Mezo i Malware, Advanced Persistent Threat (APT), Bagdøre
Oversæt til:

En Kina-allieret, sandsynligvis statsstøttet spionagegruppe, der længe har været sporet af forsvarere, har opgraderet sit værktøjssæt. Forskere, der følger klyngen (sporet internt som Hive0154), har observeret en forbedret bagdørsfamilie kaldet TONESHELL og en tidligere urapporteret USB-spredende orm kaldet SnakeDisk. Aktøren har været aktiv siden mindst 2012 og spores under mange branchenavne, herunder BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon og sporingsmærket Hive0154.

TONESHELL — Oprindelse og tidligere brug

TONESHELL blev først offentligt omtalt i november 2022 efter en række indtrængen observeret mellem maj og oktober 2022, der ramte mål i Myanmar, Australien, Filippinerne, Japan og Taiwan. Historisk set har operatører lanceret TONESHELL via DLL-sideloading; malwarens hovedrolle i disse operationer var at hente og installere efterfølgende nyttelast fra en operatørstyret server.

ANGREBSKÆDER OG RELATEREDE FAMILIER

Spear-phishing er fortsat den foretrukne indledende adgangsvektor: målrettede e-mails via droploadere, der derefter starter familier som PUBLOAD eller TONESHELL. PUBLOAD opfører sig på samme måde som TONESHELL og er blevet observeret ved at hente shellcode fra C2-infrastruktur ved hjælp af HTTP POST-anmodninger. Når loaderen kører, hentes og udføres efterfølgende trin for at udvide adgang eller bevare adgangen.

TONESHELL-VARIANTER

Forskere har navngivet de nyligt observerede bygninger TONESHELL8 og TONESHELL9. De vigtigste ændringer omfatter:

  • Muligheden for at dirigere C2-trafik gennem lokalt konfigurerede proxyservere, hvilket hjælper trafikken med at blandes med legitim virksomhedstrafik og reducerer netværksbaseret detektion.
  • Understøttelse af kørsel af to reverse shells samtidigt, hvilket giver operatører redundant interaktiv adgang til kompromitterede værter.
  • I TONESHELL8 blev tilsyneladende irrelevant eller "uønsket" kode taget fra OpenAIs ChatGPT-websider indlejret i malware-funktioner – en sandsynlig teknik til at hindre statisk analyse og omgå signaturer, der er afhængige af forventede kodemønstre.

OPERATIONEL INDVIRKNING OG IMPLIKATIONER

Disse udviklinger viser en vægt på stealth, robusthed og præcisionsmålretning. Geografiske udførelseskontroller (SnakeDisk), proxybrug og dobbelte interaktive kanaler øger operatørens fleksibilitet, samtidig med at detektering og respons kompliceres. Indsættelse af urelateret webbaseret kode i binære builds er et bevidst anti-analysetrin, der kan sløve værktøjsbaseret sortering.

Trending

Mest sete

Indlæser...