TONESHELL galinės durys
Su Kinija susijusi, greičiausiai valstybės remiama šnipinėjimo grupuotė, kurią jau seniai seka gynėjai, patobulino savo įrankių rinkinį. Šią grupę (viduje sekamą kaip „Hive0154“) stebintys tyrėjai pastebėjo patobulintą užpakalinių durų šeimą, vadinamą TONESHELL, ir anksčiau nepraneštą USB atmintines platinantį kirminą, vadinamą „SnakeDisk“. Šis veikėjas veikia mažiausiai nuo 2012 m. ir yra sekamas daugeliu pramonės šakų pavadinimų, įskaitant BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon ir sekimo etiketę „Hive0154“.
Turinys
TONESHELL — Kilmė ir ankstesnis naudojimas
„TONESHELL“ pirmą kartą viešose ataskaitose pasirodė 2022 m. lapkritį po virtinės įsilaužimų, pastebėtų nuo 2022 m. gegužės iki spalio mėn., kurie paveikė taikinius Mianmare, Australijoje, Filipinuose, Japonijoje ir Taivane. Istoriškai operatoriai paleidžia „TONESHELL“ naudodami DLL šoninį įkėlimą; pagrindinis kenkėjiškos programos vaidmuo šiose operacijose buvo gauti ir įdiegti tolesnius naudingus duomenis iš operatoriaus valdomo serverio.
PUOLIMO GRANDINĖS IR SU JAIS SUSIJUSIOS ŠEIMOS
Sukčiavimas siekiant sukčiavimo išlieka pageidaujamu pradinės prieigos vektoriumi: tiksliniai el. laiškai išsiunčia įkroviklius, kurie paleidžia tokias programų šeimas kaip „PUBLOAD“ arba „TONESHELL“. „PUBLOAD“ veikia panašiai kaip „TONESHELL“ ir buvo pastebėta, kad jis nuskaito apvalkalo kodą iš C2 infrastruktūros naudodamas HTTP POST užklausas. Įkrovikliui paleidus, nuskaitomi ir vykdomi tolesni etapai, siekiant išplėsti prieigą arba išsaugoti duomenis.
TONESHELL VARIANTAI
Tyrėjai naujai pastebėtas versijas pavadino TONESHELL8 ir TONESHELL9. Svarbiausi pakeitimai:
- Galimybė nukreipti C2 srautą per vietoje konfigūruotus tarpinius serverius, padedant srautui susilieti su teisėtu įmonės srautu ir sumažinant tinkle vykstantį aptikimą.
- Palaikymas dviejų atvirkštinių apvalkalų paleidimui vienu metu, suteikiant operatoriams nereikalingą interaktyvią prieigą prie pažeistų pagrindinių kompiuterių.
- „TONESHELL8“ programoje į kenkėjiškų programų funkcijas įtraukiamas iš pažiūros nesusijęs arba „nepageidaujamas“ kodas, paimtas iš „OpenAI“ „ChatGPT“ tinklalapių – tai tikėtina technika, skirta trukdyti statinei analizei ir apeiti parašus, kurie remiasi numatomais kodo modeliais.
VEIKLOS POVEIKIS IR PASEKMĖS
Šie pokyčiai rodo, kad daug dėmesio skiriama slaptumui, atsparumui ir tiksliam taikymui. Geografiniai vykdymo patikrinimai („SnakeDisk“), tarpinio serverio naudojimas ir du interaktyvūs kanalai padidina operatoriaus lankstumą, kartu apsunkindami aptikimą ir reagavimą. Nesusijusio žiniatinklio šaltinio kodo įterpimas į dvejetaines versijas yra sąmoningas antianalizės žingsnis, kuris gali sušvelninti įrankių pagrindu atliekamą triažą.
