Preventivo sconto multi-licenza
Database delle minacce Malware Porta sul retro TONESHELL

Porta sul retro TONESHELL

Entro Mezo nel Malware, Minaccia persistente avanzata (APT), Porte sul retro
Traduci in:

Un gruppo di spionaggio affiliato alla Cina, probabilmente sponsorizzato dallo Stato, da tempo monitorato dai difensori, ha potenziato il suo toolkit. I ricercatori che seguono il cluster (monitorato internamente come Hive0154) hanno osservato una famiglia di backdoor potenziate chiamata TONESHELL e un worm che si propaga tramite USB, precedentemente non segnalato, denominato SnakeDisk. L'autore è attivo almeno dal 2012 ed è monitorato con diversi nomi industriali, tra cui BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon e l'etichetta di tracciamento Hive0154.

TONESHELL — Origine e uso precedente

TONESHELL è apparso per la prima volta in resoconti pubblici nel novembre 2022, dopo una serie di intrusioni osservate tra maggio e ottobre 2022 che hanno colpito obiettivi in Myanmar, Australia, Filippine, Giappone e Taiwan. Storicamente, gli operatori hanno lanciato TONESHELL tramite il caricamento laterale di DLL; il ruolo principale del malware in tali operazioni era quello di recuperare e installare payload successivi da un server controllato dall'operatore.

CATENE DI ATTACCO E FAMIGLIE CORRELATE

Lo spear-phishing rimane il vettore di accesso iniziale preferito: le email mirate rilasciano loader che poi avviano famiglie di applicazioni come PUBLOAD o TONESHELL. PUBLOAD si comporta in modo simile a TONESHELL ed è stato osservato il recupero di shellcode dall'infrastruttura C2 tramite richieste HTTP POST. Una volta eseguito il loader, le fasi successive vengono recuperate ed eseguite per espandere l'accesso o persistere.

VARIANTI TONESHELL

I ricercatori hanno chiamato le nuove build osservate TONESHELL8 e TONESHELL9. Le principali modifiche includono:

  • La capacità di instradare il traffico C2 attraverso server proxy configurati localmente, aiutando il traffico a integrarsi con il traffico aziendale legittimo e riducendo il rilevamento basato sulla rete.
  • Supporto per l'esecuzione simultanea di due reverse shell, offrendo agli operatori un accesso interattivo ridondante agli host compromessi.
  • In TONESHELL8, l'inclusione di codice apparentemente irrilevante o "spazzatura" tratto dalle pagine web ChatGPT di OpenAI, incorporato in funzioni malware, è una tecnica probabile per ostacolare l'analisi statica ed eludere le firme che si basano su modelli di codice previsti.

IMPATTO OPERATIVO E IMPLICAZIONI

Questi sviluppi mostrano un'enfasi su stealth, resilienza e targeting di precisione. I controlli di esecuzione geografica (SnakeDisk), l'utilizzo di proxy e i doppi canali interattivi aumentano la flessibilità degli operatori, complicando al contempo il rilevamento e la risposta. L'inserimento di codice web source non correlato in build binarie è una deliberata misura di prevenzione dell'analisi che può indebolire il triage basato su strumenti.

Tendenza

I più visti

Caricamento in corso...