TONESHELL Backdoor

오랫동안 수비진에 의해 추적되어 온 중국과 연계되고 국가 지원을 받는 것으로 추정되는 스파이 집단이 툴킷을 업그레이드했습니다. 이 집단(내부적으로는 Hive0154로 추적됨)을 추적하는 연구원들은 TONESHELL이라는 강화된 백도어 패밀리와 이전에 보고되지 않은 USB 확산 웜인 SnakeDisk를 발견했습니다. 이 공격자는 최소 2012년부터 활동해 왔으며 BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon 등 여러 업계 명칭과 추적 라벨 Hive0154를 사용하여 추적되고 있습니다.

TONESHELL — 원산지 및 이전 사용

TONESHELL은 2022년 5월부터 10월까지 미얀마, 호주, 필리핀, 일본, 대만의 공격 대상에 영향을 미친 일련의 침입 사례가 관찰된 후 2022년 11월에 처음 공개 보고되었습니다. 과거에는 공격자들이 DLL 사이드 로딩을 통해 TONESHELL을 실행해 왔습니다. 이러한 공격에서 TONESHELL의 주요 역할은 공격자가 제어하는 서버에서 후속 페이로드를 가져와 설치하는 것이었습니다.

공격 체인 및 관련 패밀리

스피어피싱은 여전히 초기 접근 경로로 선호됩니다. 표적 이메일은 PUBLOAD나 TONESHELL과 같은 로더를 드롭하고, 이 로더는 PUBLOAD나 TONESHELL과 같은 셸코드를 실행합니다. PUBLOAD는 TONESHELL과 유사하게 동작하며, HTTP POST 요청을 사용하여 C2 인프라에서 셸코드를 검색하는 것으로 관찰되었습니다. 로더가 실행되면 후속 단계가 로드되어 접근 권한을 확장하거나 지속됩니다.

톤쉘 변형

연구원들은 새롭게 관찰된 빌드를 TONESHELL8과 TONESHELL9로 명명했습니다. 주요 변경 사항은 다음과 같습니다.

• 로컬로 구성된 프록시 서버를 통해 C2 트래픽을 라우팅하는 기능을 통해 트래픽을 합법적인 엔터프라이즈 트래픽과 혼합하고 네트워크 기반 감지를 줄일 수 있습니다.
• 두 개의 역방향 셸을 동시에 실행하여 운영자에게 손상된 호스트에 대한 중복된 대화형 액세스를 제공합니다.
• TONESHELL8에서는 OpenAI의 ChatGPT 웹 페이지에서 가져온 겉보기에 무관하거나 '정크' 코드를 맬웨어 기능에 포함시켰습니다. 이는 정적 분석을 방해하고 예상 코드 패턴에 의존하는 시그니처를 회피하기 위한 기술일 가능성이 높습니다.

운영적 영향 및 의미

이러한 발전은 은밀성, 복원력, 그리고 정밀 타겟팅에 중점을 두고 있음을 보여줍니다. 지리적 실행 검사(SnakeDisk), 프록시 사용, 그리고 이중 상호작용 채널은 운영자의 유연성을 높이는 동시에 탐지 및 대응을 복잡하게 만듭니다. 관련 없는 웹 소스 코드를 바이너리 빌드에 삽입하는 것은 의도적인 분석 방지 조치로, 도구 기반 분류를 무디게 할 수 있습니다.