TONESHELL-takaovi

Kiinaan liittoutunut ja todennäköisesti valtion tukema vakoiluryhmä, jota puolustajat ovat pitkään seuranneet, on päivittänyt työkalupakkiaan. Ryppää (jota seurattiin sisäisesti nimellä Hive0154) seuranneet tutkijat ovat havainneet parannetun takaporttiperheen nimeltä TONESHELL ja aiemmin raportoimattoman USB-levyjä levittävän madon nimeltä SnakeDisk. Toimija on ollut aktiivinen ainakin vuodesta 2012 lähtien, ja sitä seurataan useilla alan nimillä, kuten BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon ja seurantatunnisteella Hive0154.

TONESHELL — Alkuperä ja aiempi käyttö

TONESHELL esiintyi ensimmäisen kerran julkisuudessa marraskuussa 2022 toukokuun ja lokakuun 2022 välisenä aikana havaittujen tunkeutumisten sarjan jälkeen, jotka vaikuttivat kohteisiin Myanmarissa, Australiassa, Filippiineillä, Japanissa ja Taiwanissa. Historiallisesti operaattorit ovat käynnistäneet TONESHELLin DLL-sivulatauksen kautta; haittaohjelman päärooli näissä toiminnoissa oli hakea ja asentaa jatkohyötykuormia operaattorin hallitsemalta palvelimelta.

HYÖKKÄYSKETJUT JA NIIHIN LIITTYVÄT PERHEET

Keihäshuijaus on edelleen ensisijainen alkukäyttövektori: kohdennetut sähköpostit pudottavat latausohjelmia, jotka käynnistävät sitten ohjelmaperheitä, kuten PUBLOAD tai TONESHELL. PUBLOAD toimii samalla tavalla kuin TONESHELL, ja sen on havaittu hakevan komentotulkkikoodia C2-infrastruktuurista HTTP POST -pyyntöjen avulla. Kun latausohjelma on käynnissä, seuraavat vaiheet noudetaan ja suoritetaan käyttöoikeuden laajentamiseksi tai säilyttämiseksi.

ÄÄNIKUORIN VARIANTIT

Tutkijat ovat nimenneet uudet havaitut versiot TONESHELL8:ksi ja TONESHELL9:ksi. Keskeisiä muutoksia ovat:

• Mahdollisuus reitittää C2-liikennettä paikallisesti määritettyjen välityspalvelimien kautta, mikä auttaa liikennettä yhdistymään lailliseen yritysliikenteeseen ja vähentää verkkopohjaista havaitsemista.
• Tuki kahden käänteisen komentotulkin samanaikaiselle suorittamiselle, mikä antaa operaattoreille redundanttisen interaktiivisen pääsyn vaarantuneisiin isäntiin.
• TONESHELL8-testissä haittaohjelmatoimintoihin on upotettu näennäisesti epäolennaista tai "roska"-koodia, joka on otettu OpenAI:n ChatGPT-verkkosivuilta. Tämä on todennäköinen tekniikka, jolla estetään staattinen analyysi ja vältetään odotettuihin koodimalleihin perustuvia allekirjoituksia.

TOIMINNALLINEN VAIKUTUS JA SEURAUKSET

Nämä kehitysaskeleet osoittavat painotusta huomaamattomuuteen, sietokykyyn ja tarkkaan kohdistukseen. Maantieteelliset suoritustarkistukset (SnakeDisk), välityspalvelimien käyttö ja kaksi vuorovaikutteista kanavaa lisäävät käyttäjän joustavuutta samalla, kun ne vaikeuttavat havaitsemista ja reagointia. Epäolennaisen verkkopohjaisen koodin lisääminen binäärikoodeihin on tarkoituksellinen analyysin vastainen askel, joka voi heikentää työkalupohjaista triage-analyysiä.