TONESHELL Κερκόπορτα
Μια ομάδα κατασκοπείας, η οποία πιθανότατα χρηματοδοτείται από το κράτος και είναι υποστηριζόμενη από την Κίνα, την οποία παρακολουθούσαν επί μακρόν οι υπερασπιστές, έχει αναβαθμίσει την εργαλειοθήκη της. Ερευνητές που παρακολουθούν την ομάδα (η οποία παρακολουθείται εσωτερικά ως Hive0154) έχουν παρατηρήσει μια ενισχυμένη οικογένεια backdoor που ονομάζεται TONESHELL και ένα προηγουμένως μη αναφερόμενο worm που διαδίδεται μέσω USB, το οποίο ονομάζεται SnakeDisk. Ο δράστης είναι ενεργός τουλάχιστον από το 2012 και παρακολουθείται με πολλά ονόματα του κλάδου, όπως BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon και την ετικέτα παρακολούθησης Hive0154.
Πίνακας περιεχομένων
TONESHELL — Προέλευση και προηγούμενη χρήση
Το TONESHELL εμφανίστηκε για πρώτη φορά σε δημόσιες αναφορές τον Νοέμβριο του 2022 μετά από μια σειρά εισβολών που παρατηρήθηκαν μεταξύ Μαΐου και Οκτωβρίου 2022 και επηρέασαν στόχους στη Μιανμάρ, την Αυστραλία, τις Φιλιππίνες, την Ιαπωνία και την Ταϊβάν. Ιστορικά, οι πάροχοι έχουν εκκινήσει το TONESHELL μέσω πλευρικής φόρτωσης DLL. Ο κύριος ρόλος του κακόβουλου λογισμικού σε αυτές τις λειτουργίες ήταν η ανάκτηση και η εγκατάσταση επακόλουθων ωφέλιμων φορτίων από έναν διακομιστή που ελέγχεται από τον πάροχο.
ΑΛΥΣΙΔΕΣ ΕΠΙΘΕΣΗΣ & ΣΧΕΤΙΚΕΣ ΟΙΚΟΓΕΝΕΙΕΣ
Το spear-phishing παραμένει ο προτιμώμενος αρχικός φορέας πρόσβασης: στοχευμένα προγράμματα drop loaders email που στη συνέχεια εκκινούν οικογένειες όπως το PUBLOAD ή το TONESHELL. Το PUBLOAD συμπεριφέρεται παρόμοια με το TONESHELL και έχει παρατηρηθεί ότι ανακτά shellcode από την υποδομή C2 χρησιμοποιώντας αιτήματα HTTP POST. Μόλις εκτελεστεί το πρόγραμμα loader, τα επόμενα στάδια ανακτώνται και εκτελούνται για να επεκτείνουν την πρόσβαση ή να διατηρήσουν τη λειτουργία τους.
ΠΑΡΑΛΛΑΓΕΣ TONESHELL
Οι ερευνητές έχουν ονομάσει τις πρόσφατα παρατηρούμενες εκδόσεις TONESHELL8 και TONESHELL9. Οι βασικές αλλαγές περιλαμβάνουν:
- Η δυνατότητα δρομολόγησης της κυκλοφορίας C2 μέσω τοπικά διαμορφωμένων διακομιστών proxy, βοηθώντας την ανάμειξη της κυκλοφορίας με την νόμιμη εταιρική κίνηση και μειώνοντας την ανίχνευση μέσω δικτύου.
- Υποστήριξη για την ταυτόχρονη εκτέλεση δύο αντίστροφων κελυφών, παρέχοντας στους χειριστές πλεονάζουσα διαδραστική πρόσβαση σε παραβιασμένους κεντρικούς υπολογιστές.
- Στο TONESHELL8, η συμπερίληψη φαινομενικά άσχετου ή «ανεπιθύμητου» κώδικα που ελήφθη από τις ιστοσελίδες ChatGPT του OpenAI ενσωματώθηκε σε λειτουργίες κακόβουλου λογισμικού — μια πιθανή τεχνική για την παρεμπόδιση της στατικής ανάλυσης και την αποφυγή υπογραφών που βασίζονται σε αναμενόμενα μοτίβα κώδικα.
ΕΠΙΧΕΙΡΗΣΙΑΚΕΣ ΕΠΙΠΤΩΣΕΙΣ & ΕΠΙΠΤΩΣΕΙΣ
Αυτές οι εξελίξεις δείχνουν έμφαση στη μυστικότητα, την ανθεκτικότητα και την ακριβή στόχευση. Οι γεωγραφικοί έλεγχοι εκτέλεσης (SnakeDisk), η χρήση διακομιστή μεσολάβησης και τα διπλά διαδραστικά κανάλια αυξάνουν την ευελιξία του χειριστή, ενώ παράλληλα περιπλέκουν την ανίχνευση και την απόκριση. Η εισαγωγή μη σχετικού κώδικα που προέρχεται από το διαδίκτυο σε δυαδικές εκδόσεις είναι ένα σκόπιμο βήμα κατά της ανάλυσης που μπορεί να αμβλύνει την ταξινόμηση που βασίζεται σε εργαλεία.
