הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית דלת אחורית של TONESHELL

דלת אחורית של TONESHELL

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT), דלתות אחוריות
לתרגם ל:

קבוצת ריגול המזוהה עם סין, ככל הנראה בחסות מדינה, שעוקבת אחריה זמן רב על ידי מגיני הרשת, שדרגה את ערכת הכלים שלה. חוקרים שעוקבים אחר האשכול (שנעקב באופן פנימי בשם Hive0154) הבחינו במשפחת תולעים משופרת המפיצה קבצים דרך USB, שלא דווחה קודם לכן, בשם SnakeDisk. התולעת פעילה מאז לפחות 2012 ועוקבת תחת שמות רבים בתעשייה, כולל BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon ותווית המעקב Hive0154.

TONESHELL - מקור ושימוש קודם

TONESHELL הופיע לראשונה בדיווחים ציבוריים בנובמבר 2022 לאחר סדרה של חדירות שנצפו בין מאי לאוקטובר 2022 שפגעו במטרות במיאנמר, אוסטרליה, הפיליפינים, יפן וטייוואן. מבחינה היסטורית, מפעילים הפעילו את TONESHELL באמצעות טעינת DLL צדדית; התפקיד העיקרי של הנוזקה בפעולות אלו היה לאחזר ולהתקין מטענים נוספים משרת הנשלט על ידי המפעיל.

שרשראות תקיפה ומשפחות קשורות

פישינג מסוג Spear-phishing נותר וקטור הגישה הראשוני המועדף: הודעות דוא"ל ממוקדות מורידות טוענים אשר לאחר מכן משיקות משפחות כגון PUBLOAD או TONESHELL. PUBLOAD מתנהג באופן דומה ל-TONESHELL ונצפה מאחזר קוד מעטפת מתשתית C2 באמצעות בקשות HTTP POST. לאחר שהטוען פועל, שלבים נוספים נשלפים ומבוצעים כדי להרחיב את הגישה או להתמיד.

גרסאות של TONESHELL

חוקרים סמנו את המבנים החדשים שנצפו כ-TONESHELL8 ו-TONESHELL9. שינויים עיקריים כוללים:

  • היכולת לנתב תעבורת C2 דרך שרתי פרוקסי שתצורתם נקבעה באופן מקומי, מה שעוזר לתעבורה להשתלב עם תעבורה לגיטימית של הארגון ומפחית את הזיהוי מבוסס הרשת.
  • תמיכה בהפעלת שני פגזים הפוכים בו זמנית, מה שנותן למפעילים גישה אינטראקטיבית יתירה למארחים שנפגעו.
  • ב-TONESHELL8, הכללת קוד לכאורה לא רלוונטי או קוד "זבל" שנלקח מדפי האינטרנט ChatGPT של OpenAI מוטמע בפונקציות של תוכנות זדוניות - טכניקה סבירה שמעכבת ניתוח סטטי ומעקמת חתימות המסתמכות על דפוסי קוד צפויים.

השפעה תפעולית והשלכות

התפתחויות אלו מראות דגש על חמקנות, חוסן ומיקוד מדויק. בדיקות ביצוע גיאוגרפיות (SnakeDisk), שימוש בפרוקסי וערוצים אינטראקטיביים כפולים מגבירות את גמישות המפעיל תוך סיבוך הזיהוי והתגובה. הכנסת קוד אינטרנטי לא קשור לתוך מערכות בינאריות היא צעד מכוון נגד ניתוח שיכול להקהות את המיון מבוסס הכלים.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,281
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...