Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare TONESHELL-bakdør

TONESHELL-bakdør

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT), Bakdører
Oversett til:

En Kina-tilknyttet, sannsynligvis statsstøttet spionasjegruppe som lenge har blitt sporet av forsvarere, har oppgradert verktøykassen sin. Forskere som følger klyngen (sporet internt som Hive0154) har observert en forbedret bakdørsfamilie kalt TONESHELL og en tidligere urapportert USB-forplantningsorm kalt SnakeDisk. Aktøren har vært aktiv siden minst 2012 og spores under mange bransjenavn, inkludert BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon og sporingsmerket Hive0154.

TONESHELL — Opprinnelse og tidligere bruk

TONESHELL dukket først opp i offentlig rapportering i november 2022 etter en rekke inntrengninger observert mellom mai og oktober 2022 som rammet mål i Myanmar, Australia, Filippinene, Japan og Taiwan. Historisk sett har operatører lansert TONESHELL via DLL-sidelasting; skadevarens hovedrolle i disse operasjonene var å hente og installere påfølgende nyttelaster fra en operatørkontrollert server.

ANGREPSKJEDER OG RELATERTE FAMILIER

Spear-phishing er fortsatt den foretrukne tilgangsvektoren for første gang: målrettede e-poster slippes som lasteprogrammer som deretter starter familier som PUBLOAD eller TONESHELL. PUBLOAD oppfører seg på samme måte som TONESHELL og har blitt observert hentende skallkode fra C2-infrastruktur ved hjelp av HTTP POST-forespørsler. Når lasteprogrammet kjører, hentes og utføres påfølgende trinn for å utvide tilgang eller vedvare.

TONESHELL-VARIANTER

Forskere har merket de nylig observerte byggene TONESHELL8 og TONESHELL9. Viktige endringer inkluderer:

  • Muligheten til å rute C2-trafikk gjennom lokalt konfigurerte proxy-servere, noe som hjelper trafikken å blande seg med legitim bedriftstrafikk og reduserer nettverksbasert deteksjon.
  • Støtte for å kjøre to reverse shells samtidig, noe som gir operatører redundant interaktiv tilgang til kompromitterte verter.
  • I TONESHELL8 ble tilsynelatende irrelevant eller «søppel»-kode hentet fra OpenAIs ChatGPT-nettsider innebygd i skadevarefunksjoner – en sannsynlig teknikk for å hindre statisk analyse og unngå signaturer som er avhengige av forventede kodemønstre.

OPERASJONELL PÅVIRKNING OG IMPLIKASJONER

Denne utviklingen viser en vektlegging av stealth, robusthet og presisjonsmålretting. Geografiske utførelseskontroller (SnakeDisk), proxy-bruk og doble interaktive kanaler øker operatørens fleksibilitet samtidig som de kompliserer deteksjon og respons. Innsetting av urelatert nettkildekode i binære bygg er et bevisst anti-analyse-trinn som kan sløve verktøybasert sortering.

Trender

Mest sett

Laster inn...