Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Pintu Belakang TONESHELL

Pintu Belakang TONESHELL

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT), Pintu belakang
Terjemahkan ke

Kumpulan pengintipan yang sejajar dengan China, mungkin ditaja oleh kerajaan yang telah lama dijejaki oleh pembela telah meningkatkan kit alatnya. Penyelidik yang mengikuti kluster (dijejaki secara dalaman sebagai Hive0154) telah memerhatikan keluarga pintu belakang yang dipertingkatkan yang dipanggil TONESHELL dan cecacing penyebaran USB yang tidak dilaporkan sebelum ini yang digelar SnakeDisk. Pelakon itu telah aktif sejak sekurang-kurangnya 2012 dan sedang dijejaki di bawah banyak nama industri, termasuk BASIN, Presiden Gangsa, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon, dan label penjejakan Hive0154.

TONESHELL — Asal dan Penggunaan Terdahulu

TONESHELL pertama kali muncul dalam pelaporan awam pada November 2022 selepas beberapa siri pencerobohan diperhatikan antara Mei dan Oktober 2022 yang menjejaskan sasaran di Myanmar, Australia, Filipina, Jepun dan Taiwan. Dari segi sejarah, pengendali telah melancarkan TONESHELL melalui pemuatan sisi DLL; peranan utama perisian hasad dalam operasi tersebut adalah untuk mengambil dan memasang muatan susulan daripada pelayan yang dikawal oleh pengendali.

RANTAI SERANGAN & KELUARGA BERKAITAN

Spear-phishing kekal sebagai vektor akses awal pilihan: e-mel yang disasarkan menggugurkan pemuat yang kemudiannya melancarkan keluarga seperti PUBLOAD atau TONESHELL. PUBLOAD berkelakuan serupa dengan TONESHELL dan telah diperhatikan mendapatkan shellcode daripada infrastruktur C2 menggunakan permintaan HTTP POST. Setelah pemuat berjalan, peringkat seterusnya diambil dan dilaksanakan untuk mengembangkan akses atau berterusan.

VARIAN TONESELL

Penyelidik telah melabelkan binaan yang baru diperhatikan TONESHELL8 dan TONESHELL9. Perubahan utama termasuk:

  • Keupayaan untuk menghalakan trafik C2 melalui pelayan proksi yang dikonfigurasikan secara tempatan, membantu trafik menggabungkan dengan trafik perusahaan yang sah dan mengurangkan pengesanan berasaskan rangkaian.
  • Sokongan untuk menjalankan dua cengkerang terbalik secara serentak, memberikan operator akses interaktif berlebihan kepada hos yang terjejas.
  • Dalam TONESHELL8, kemasukan kod yang nampaknya tidak relevan atau 'sampah' yang diambil daripada halaman web OpenAI ChatGPT yang dibenamkan ke dalam fungsi perisian hasad — teknik yang mungkin menghalang analisis statik dan mengelak tandatangan yang bergantung pada corak kod yang dijangkakan.

IMPAK & IMPLIKASI OPERASI

Perkembangan ini menunjukkan penekanan pada penyasaran siluman, daya tahan dan ketepatan. Pemeriksaan pelaksanaan geografi (SnakeDisk), penggunaan proksi dan saluran interaktif dwi meningkatkan fleksibiliti pengendali sambil merumitkan pengesanan dan tindak balas. Penyisipan kod sumber web yang tidak berkaitan ke dalam binari binari ialah langkah anti-analisis yang disengajakan yang boleh menumpulkan triage berasaskan alat.

Trending

Paling banyak dilihat

Memuatkan...