TONESHELL hátsó ajtó

Egy Kínával együttműködő, valószínűleg államilag támogatott kémszervezet, amelyet a védelmezők régóta követnek nyomon, továbbfejlesztette eszköztárát. A Hive0154 néven belsőleg nyomon követett csoportot követő kutatók egy TONESHELL nevű továbbfejlesztett hátsó ajtó családot és egy korábban nem jelentett, SnakeDisk nevű USB-n terjedő férget figyeltek meg. A szereplő legalább 2012 óta aktív, és számos iparági név alatt követik nyomon, többek között BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon és a Hive0154 követőcímke alatt.

TONESHELL — Eredet és korábbi felhasználás

A TONESHELL először 2022 novemberében jelent meg nyilvános jelentésekben, miután 2022 májusa és októbere között egy sor behatolást figyeltek meg, amelyek Mianmarban, Ausztráliában, a Fülöp-szigeteken, Japánban és Tajvanon lévő célpontokat érintettek. A múltban az operátorok DLL oldalra töltéssel indították el a TONESHELL-t; a rosszindulatú program fő szerepe ezekben a műveletekben a további hasznos fájlok lekérése és telepítése volt egy operátor által vezérelt szerverről.

TÁMADÁSI LÁNCOK ÉS KAPCSOLÓDÓ CSALÁDOK

A célzott adathalászat továbbra is az előnyben részesített kezdeti hozzáférési vektor: a célzott e-mailek betöltőket dobnak, amelyek ezután olyan családokat indítanak el, mint a PUBLOAD vagy a TONESHELL. A PUBLOAD hasonlóan viselkedik, mint a TONESHELL, és megfigyelték, hogy HTTP POST kérések segítségével kér le shellkódot a C2 infrastruktúrából. A betöltő futtatása után a következő szakaszok lekérésre és végrehajtásra kerülnek a hozzáférés kibővítése vagy a megmaradás érdekében.

HANGHÉJ VÁLTOZATOK

A kutatók a TONESHELL8 és TONESHELL9 címkével látták el az újonnan megfigyelt buildeket. A főbb változások a következők:

• A C2 forgalom helyileg konfigurált proxyszervereken keresztüli átirányításának képessége, ami segíti a forgalom összeolvadását a jogos vállalati forgalommal és csökkenti a hálózatalapú észlelést.
• Két fordított shell egyidejű futtatásának támogatása, amely redundáns interaktív hozzáférést biztosít az operátoroknak a feltört hosztokhoz.
• A TONESHELL8-ban az OpenAI ChatGPT weboldalairól származó, látszólag irreleváns vagy „szemét” kód beágyazása a rosszindulatú programok funkcióiba – ez valószínűleg egy technika a statikus elemzés akadályozására és a várható kódmintákra támaszkodó aláírások megkerülésére.

MŰKÖDÉSI HATÁS ÉS KÖVETKEZMÉNYEK

Ezek a fejlesztések a lopakodásra, a rugalmasságra és a precíziós célzásra helyezik a hangsúlyt. A földrajzi végrehajtási ellenőrzések (SnakeDisk), a proxy használata és a kettős interaktív csatornák növelik az operátor rugalmasságát, miközben bonyolítják az észlelést és a reagálást. A nem kapcsolódó webes forrásból származó kód bináris buildekbe való beillesztése egy szándékos elemzés-ellenes lépés, amely tompíthatja az eszközalapú triázst.