TONESHELL aizmugurējās durvis
Ar Ķīnu saistīta, visticamāk, valsts sponsorēta spiegošanas grupa, kuru jau sen izseko aizstāvji, ir uzlabojusi savu rīku komplektu. Pētnieki, kas seko līdzi klasterim (iekšēji izsekots kā Hive0154), ir novērojuši uzlabotu aizmugurējo durvju saimi ar nosaukumu TONESHELL un iepriekš neziņotu USB izplatošu tārpu ar nosaukumu SnakeDisk. Šis dalībnieks ir aktīvs vismaz kopš 2012. gada un tiek izsekots zem daudziem nozares nosaukumiem, tostarp BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon un izsekošanas etiķetes Hive0154.
Satura rādītājs
TONESHELL — Izcelsme un iepriekšēja izmantošana
TONESHELL pirmo reizi publiskajā aptauja paradīzē parādījās 2022. gada novembrī pēc virknes ielaušanās, kas tika novērota laikā no 2022. gada maija līdz oktobrim un skāra mērķus Mjanmā, Austrālijā, Filipīnās, Japānā un Taivānā. Vēsturiski operatori TONESHELL palaida, izmantojot DLL sānielādi; ļaunprogrammatūras galvenā loma šajās darbībās bija papildu vērtuma ielādēšana un instalēšana no operatora kontrolēta servera.
UZBRUKUMA ĶĒDES UN SAISTĪTĀS ĢIMENES
Spear-phishing joprojām ir vēlamais sākotnējās piekļuves vektors: mērķtiecīgi e-pasti nomet ielādētājus, kas pēc tam palaiž tādas saimes kā PUBLOAD vai TONESHELL. PUBLOAD darbojas līdzīgi kā TONESHELL un ir novērots, izgūstot apvalka kodu no C2 infrastruktūras, izmantojot HTTP POST pieprasījumus. Kad ielādētājs darbojas, tiek ielādēti un izpildīti nākamie posmi, lai paplašinātu piekļuvi vai saglabātu to.
TOŅU APVALKU VARIANTI
Pētnieki ir nosaukuši jauniegūtos versiju nosaukumus TONESHELL8 un TONESHELL9. Galvenās izmaiņas ietver:
- Spēja maršrutēt C2 datplūsmu caur lokāli konfigurētiem starpniekservera serveriem, palīdzot datplūsmai saplūst ar likumīgu uzņēmuma datplūsmu un samazinot tīklā balstītu noteikšanu.
- Atbalsts divu apgriezto čaulu vienlaicīgai darbībai, nodrošinot operatoriem lieku interaktīvu piekļuvi apdraudētiem resursdatoriem.
- TONESHELL8 versijā ļaunprātīgas programmatūras funkcijās iekļauts šķietami neatbilstošs vai “nevēlams” kods, kas ņemts no OpenAI ChatGPT tīmekļa lapām, — iespējama metode, lai kavētu statisko analīzi un apietu parakstus, kas balstās uz paredzamajiem koda modeļiem.
DARBĪBAS IETEKME UN SEKAS
Šīs norises liecina par uzsvaru uz slepenību, noturību un precīzu mērķēšanu. Ģeogrāfiskās izpildes pārbaudes (SnakeDisk), starpniekservera izmantošana un divi interaktīvie kanāli palielina operatora elastību, vienlaikus sarežģot atklāšanu un reaģēšanu. Nesaistīta tīmekļa izcelsmes koda ievietošana binārajos failos ir apzināts antianalīzes solis, kas var padarīt rīku balstītu triāžu nepilnīgu.
