TONESHELL Tylne drzwi

Powiązana z Chinami, prawdopodobnie sponsorowana przez państwo grupa szpiegowska, od dawna śledzona przez obrońców, ulepszyła swój zestaw narzędzi. Badacze śledzący klaster (śledzony wewnętrznie jako Hive0154) zaobserwowali ulepszoną rodzinę backdoorów o nazwie TONESHELL oraz wcześniej niezgłoszonego robaka rozprzestrzeniającego się przez USB o nazwie SnakeDisk. Podmiot ten jest aktywny co najmniej od 2012 roku i jest śledzony pod wieloma nazwami branżowymi, w tym BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon oraz pod nazwą śledzącą Hive0154.

TONESHELL — pochodzenie i wcześniejsze użycie

TONESHELL pojawił się po raz pierwszy w publicznych raportach w listopadzie 2022 roku po serii włamań zaobserwowanych między majem a październikiem 2022 roku, które dotknęły cele w Mjanmie, Australii, na Filipinach, w Japonii i na Tajwanie. Tradycyjnie operatorzy uruchamiali TONESHELL poprzez boczne ładowanie bibliotek DLL; główną rolą złośliwego oprogramowania w tych operacjach było pobieranie i instalowanie kolejnych ładunków z serwera kontrolowanego przez operatora.

ŁAŃCUCHY ATAKÓW I POWIĄZANE RODZINY

Spear phishing pozostaje preferowanym początkowym wektorem dostępu: ukierunkowane wiadomości e-mail zrzucają loadery, które następnie uruchamiają rodziny takie jak PUBLOAD lub TONESHELL. PUBLOAD zachowuje się podobnie do TONESHELL i zaobserwowano, że pobiera kod powłoki z infrastruktury C2 za pomocą żądań HTTP POST. Po uruchomieniu loadera, kolejne etapy są pobierane i wykonywane w celu rozszerzenia dostępu lub utrwalenia.

WARIANTY TONESHELL

Naukowcy nazwali nowo zaobserwowane kompilacje TONESHELL8 i TONESHELL9. Kluczowe zmiany obejmują:

• Możliwość kierowania ruchu C2 przez lokalnie skonfigurowane serwery proxy, co pozwala na mieszanie się ruchu z legalnym ruchem przedsiębiorstwa i ogranicza wykrywalność w sieci.
• Obsługa jednoczesnego uruchamiania dwóch powłok odwrotnych, zapewniająca operatorom redundantny interaktywny dostęp do zagrożonych hostów.
• W TONESHELL8 włączenie pozornie nieistotnego lub „śmieciowego” kodu pobranego ze stron internetowych ChatGPT OpenAI i osadzonego w funkcjach złośliwego oprogramowania — prawdopodobna technika mająca na celu utrudnienie analizy statycznej i obejście sygnatur opartych na oczekiwanych wzorcach kodu.

WPŁYW OPERACYJNY I IMPLIKACJE

Te zmiany kładą nacisk na ukrycie, odporność i precyzyjne namierzanie. Kontrola wykonania geograficznego (SnakeDisk), użycie proxy i podwójne kanały interaktywne zwiększają elastyczność operatora, jednocześnie komplikując wykrywanie i reagowanie. Wstawianie niepowiązanego kodu pochodzącego z internetu do kompilacji binarnych to celowy krok mający na celu ograniczenie analizy, który może utrudniać selekcję opartą na narzędziach.