Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware TONESHELL Porta dos fundos

TONESHELL Porta dos fundos

Por Mezo em Malware, Ameaça Persistente Avançada (APT), Backdoors
Traduzir Para:

Um grupo de espionagem alinhado à China, provavelmente patrocinado pelo Estado, há muito tempo rastreado por defensores, atualizou seu conjunto de ferramentas. Pesquisadores que acompanham o cluster (rastreado internamente como Hive0154) observaram uma família de backdoors aprimorada chamada TONESHELL e um worm de propagação USB não relatado anteriormente, denominado SnakeDisk. O agente está ativo desde pelo menos 2012 e está sendo rastreado sob diversos nomes da indústria, incluindo BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon e o rótulo de rastreamento Hive0154.

TONESHELL — Origem e Uso Anterior

O TONESHELL apareceu pela primeira vez em relatórios públicos em novembro de 2022, após uma série de intrusões observadas entre maio e outubro de 2022, que afetaram alvos em Mianmar, Austrália, Filipinas, Japão e Taiwan. Historicamente, os operadores lançaram o TONESHELL por meio de carregamento lateral de DLL; a principal função do malware nessas operações era buscar e instalar payloads subsequentes de um servidor controlado pelo operador.

CADEIAS DE ATAQUE E FAMÍLIAS RELACIONADAS

Spear-phishing continua sendo o vetor de acesso inicial preferido: e-mails direcionados descarregam carregadores que, em seguida, iniciam famílias como PUBLOAD ou TONESHELL. O PUBLOAD se comporta de forma semelhante ao TONESHELL e foi observado recuperando shellcode da infraestrutura C2 usando solicitações HTTP POST. Após a execução do carregador, as etapas subsequentes são buscadas e executadas para expandir o acesso ou persistir.

VARIANTES TONESHELL

Os pesquisadores denominaram as novas construções observadas de TONESHELL8 e TONESHELL9. As principais mudanças incluem:

  • A capacidade de rotear o tráfego C2 por meio de servidores proxy configurados localmente, ajudando o tráfego a se misturar com o tráfego empresarial legítimo e reduzindo a detecção baseada em rede.
  • Suporte para execução de dois shells reversos simultaneamente, dando aos operadores acesso interativo redundante a hosts comprometidos.
  • No TONESHELL8, a inclusão de código aparentemente irrelevante ou "lixo" retirado das páginas da web ChatGPT da OpenAI incorporado em funções de malware — uma técnica provável para dificultar a análise estática e escapar de assinaturas que dependem de padrões de código esperados.

IMPACTO OPERACIONAL E IMPLICAÇÕES

Esses desenvolvimentos demonstram ênfase em furtividade, resiliência e precisão na segmentação. Verificações geográficas de execução (SnakeDisk), uso de proxy e canais interativos duplos aumentam a flexibilidade do operador, ao mesmo tempo que complicam a detecção e a resposta. A inserção de código web não relacionado em compilações binárias é uma medida deliberadamente antianálise que pode prejudicar a triagem baseada em ferramentas.

Tendendo

Mais visto

Carregando...