Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara TONESHELLi tagauks

TONESHELLi tagauks

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT), Tagauksed
Tõlgi:

Hiinaga liitunud ja tõenäoliselt riigi toetatud spionaažirühmitus, mida kaitsjad on pikka aega jälginud, on oma tööriistakomplekti täiustanud. Klastrit (sisemiselt jälgitav kui Hive0154) jälginud teadlased on täheldanud täiustatud tagauste perekonda nimega TONESHELL ja varem teatamata USB-d levitavat ussi nimega SnakeDisk. Tegelane on olnud aktiivne vähemalt alates 2012. aastast ja teda jälgitakse paljude tööstusnimede all, sealhulgas BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon ja jälgimismärgise Hive0154 all.

TONESHELL — Päritolu ja varasem kasutusala

TONESHELL ilmus avalikkuse ette esmakordselt 2022. aasta novembris pärast mitmeid sissetunge, mida täheldati maist oktoobrini 2022 ja mis mõjutasid sihtmärke Myanmaris, Austraalias, Filipiinidel, Jaapanis ja Taiwanis. Ajalooliselt on operaatorid TONESHELLi käivitanud DLL-i külglaadimise kaudu; pahavara peamine roll nendes toimingutes oli operaatori kontrollitavast serverist järelkoormuste hankimine ja installimine.

RÜNNAKIKETID JA SEOTUD PEREKONNAD

Eelistatuim esmane juurdepääsuvektor on endiselt odapüük: sihitud e-kirjad langevad alla laadijatega, mis seejärel käivitavad selliseid perekondi nagu PUBLOAD või TONESHELL. PUBLOAD käitub sarnaselt TONESHELL-iga ja seda on täheldatud C2-infrastruktuurist kestakoodi hankimisel HTTP POST-päringute abil. Kui laadur käivitub, laaditakse ja käivitatakse järgmised etapid juurdepääsu laiendamiseks või säilitamiseks.

TONESHELLI VARIANDID

Teadlased on äsja täheldatud versioonid nimetanud TONESHELL8 ja TONESHELL9. Peamised muudatused on järgmised:

  • Võimalus suunata C2-liiklust läbi lokaalselt konfigureeritud puhverserverite, mis aitab liiklusel sulanduda õigustatud ettevõtte liiklusega ja vähendab võrgupõhist tuvastamist.
  • Toetus kahe pöördkesta samaaegsele käitamisele, mis annab operaatoritele redundantse interaktiivse juurdepääsu ohustatud hostidele.
  • TONESHELL8-s lisati pahavara funktsioonidesse ilmselt ebaoluline või rämpskood, mis on võetud OpenAI ChatGPT veebilehtedelt – tõenäoline tehnika staatilise analüüsi takistamiseks ja oodatavatele koodimustritele tuginevate signatuuride vältimiseks.

TEGEVUSLIK MÕJU JA TAGAJÄRJED

Need arengud näitavad rõhku varjatusel, vastupidavusel ja täpsel sihtimisel. Geograafilised teostuskontrollid (SnakeDisk), puhverserveri kasutamine ja kaks interaktiivset kanalit suurendavad operaatori paindlikkust, samal ajal raskendades tuvastamist ja reageerimist. Seotud veebipõhise koodi lisamine binaarfailidesse on tahtlik analüüsivastane samm, mis võib tööriistapõhist triaaži nüristada.

Trendikas

Enim vaadatud

Laadimine...