Ponuda s popustom na više licenci
Baza prijetnji Malware TONESHELL Stražnja vrata

TONESHELL Stražnja vrata

Do Mezo. Malware, Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:

Špijunska skupina povezana s Kinom, vjerojatno sponzorirana od strane države, koju branitelji dugo prate, nadogradila je svoj skup alata. Istraživači koji prate klaster (interno praćen kao Hive0154) uočili su poboljšanu obitelj backdoor crva pod nazivom TONESHELL i prethodno neprijavljenog USB-razmnožavajućeg crva nazvanog SnakeDisk. Akter je aktivan najmanje od 2012. godine i prati se pod mnogim industrijskim imenima, uključujući BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon i oznaku za praćenje Hive0154.

TONESHELL — Podrijetlo i prethodna upotreba

TONESHELL se prvi put pojavio u javnim izvješćima u studenom 2022. nakon niza upada uočenih između svibnja i listopada 2022. koji su utjecali na mete u Mjanmaru, Australiji, Filipinima, Japanu i Tajvanu. Povijesno gledano, operateri su pokretali TONESHELL putem bočnog učitavanja DLL-a; glavna uloga zlonamjernog softvera u tim operacijama bila je dohvaćanje i instaliranje dodatnih korisnih podataka s poslužitelja kojim upravlja operater.

NAPADNI LANCI I SRODNE OBITELJI

Spear-phishing ostaje preferirani početni vektor pristupa: ciljane e-poruke ispuštaju učitavače koji zatim pokreću obitelji kao što su PUBLOAD ili TONESHELL. PUBLOAD se ponaša slično TONESHELL-u i uočeno je da dohvaća shellcode iz C2 infrastrukture pomoću HTTP POST zahtjeva. Nakon što se učitavač pokrene, sljedeće faze se dohvaćaju i izvršavaju kako bi se proširio pristup ili održao.

VARIJANTE TONSKOG OŠTRICE

Istraživači su novootkrivene građe označili kao TONESHELL8 i TONESHELL9. Ključne promjene uključuju:

  • Mogućnost usmjeravanja C2 prometa putem lokalno konfiguriranih proxy poslužitelja, što pomaže u miješanju prometa s legitimnim poslovnim prometom i smanjuje detekciju na mreži.
  • Podrška za istovremeno pokretanje dvije obrnute ljuske, što operaterima daje redundantni interaktivni pristup kompromitiranim hostovima.
  • U TONESHELL8, uključivanje naizgled nebitnog ili 'smeća' koda preuzetog s OpenAI-jevih ChatGPT web stranica ugrađenog u funkcije zlonamjernog softvera - vjerojatna tehnika za ometanje statičke analize i izbjegavanje potpisa koji se oslanjaju na očekivane obrasce koda.

OPERATIVNI UTJECAJ I IMPLIKACIJE

Ovi razvoji pokazuju naglasak na prikrivenosti, otpornosti i preciznom ciljanju. Geografske provjere izvršenja (SnakeDisk), korištenje proxyja i dvostruki interaktivni kanali povećavaju fleksibilnost operatera, a istovremeno kompliciraju otkrivanje i odgovor. Umetanje nepovezanog web koda u binarne verzije namjeran je korak protiv analize koji može umanjiti trijažu temeljenu na alatima.

U trendu

Nagledanije

Učitavam...