Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware TONESHELL Achterdeur

TONESHELL Achterdeur

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes
Vertalen naar:

Een spionagegroep met banden met China, waarschijnlijk gesponsord door de staat en al lang gevolgd door verdedigers, heeft zijn toolkit verbeterd. Onderzoekers die de groep (intern gevolgd als Hive0154) volgen, hebben een verbeterde backdoor-familie genaamd TONESHELL en een eerder niet gerapporteerde USB-propagerende worm genaamd SnakeDisk waargenomen. De actor is al sinds minstens 2012 actief en wordt gevolgd onder vele namen in de industrie, waaronder BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon en het trackinglabel Hive0154.

TONESHELL — Oorsprong en eerder gebruik

TONESHELL verscheen voor het eerst in de publieke berichtgeving in november 2022 na een reeks inbraken die tussen mei en oktober 2022 werden waargenomen en die doelwitten troffen in Myanmar, Australië, de Filipijnen, Japan en Taiwan. Operators lanceerden TONESHELL traditioneel via DLL-sideloading; de belangrijkste rol van de malware in die operaties was het ophalen en installeren van vervolgpayloads van een door de operator beheerde server.

AANVALSKETENS EN VERWANTE FAMILIES

Spearphishing blijft de voorkeursmethode voor initiële toegang: gerichte e-mails plaatsen loaders die vervolgens families zoals PUBLOAD of TONESHELL starten. PUBLOAD gedraagt zich vergelijkbaar met TONESHELL en er is waargenomen dat het shellcode ophaalt uit C2-infrastructuur met behulp van HTTP POST-verzoeken. Zodra de loader draait, worden volgende stappen opgehaald en uitgevoerd om de toegang uit te breiden of te behouden.

TONESHELL VARIANTEN

Onderzoekers hebben de nieuw waargenomen structuren TONESHELL8 en TONESHELL9 genoemd. Belangrijke veranderingen zijn:

  • De mogelijkheid om C2-verkeer via lokaal geconfigureerde proxyservers te routeren, waardoor het verkeer zich kan vermengen met legitiem bedrijfsverkeer en detectie op basis van netwerkgegevens kan worden beperkt.
  • Ondersteuning voor het gelijktijdig uitvoeren van twee reverse shells, waardoor operators redundante interactieve toegang krijgen tot gecompromitteerde hosts.
  • In TONESHELL8 is het opnemen van ogenschijnlijk irrelevante of 'ongewenste' code afkomstig van de ChatGPT-webpagina's van OpenAI ingebed in malwarefuncties. Dit is een waarschijnlijke techniek om statische analyses te belemmeren en handtekeningen te omzeilen die afhankelijk zijn van verwachte codepatronen.

OPERATIONELE IMPACT & IMPLICATIES

Deze ontwikkelingen benadrukken de nadruk op stealth, veerkracht en nauwkeurige targeting. Geografische uitvoeringscontroles (SnakeDisk), proxygebruik en dubbele interactieve kanalen verhogen de flexibiliteit van operators, terwijl detectie en respons complexer worden. Het invoegen van niet-gerelateerde webcode in binaire builds is een opzettelijke anti-analysestap die toolgebaseerde triage kan belemmeren.

Trending

Meest bekeken

Bezig met laden...