TONESHELL Backdoor

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT), Ușile din spate

Tradu in:

Un grup de spionaj aliniat cu China, probabil sponsorizat de stat, urmărit de mult timp de apărători, și-a modernizat setul de instrumente. Cercetătorii care urmăresc clusterul (urmărit intern ca Hive0154) au observat o familie de backdoor-uri îmbunătățite numită TONESHELL și un vierme care se propagă prin USB, neraportat anterior, numit SnakeDisk. Actorul este activ cel puțin din 2012 și este urmărit sub numeroase nume industriale, inclusiv BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon și eticheta de urmărire Hive0154.

Cuprins

TONESHELL — Origine și utilizare anterioară

TONESHELL a apărut pentru prima dată în rapoartele publice în noiembrie 2022, după o serie de intruziuni observate între mai și octombrie 2022, care au afectat ținte din Myanmar, Australia, Filipine, Japonia și Taiwan. Din punct de vedere istoric, operatorii au lansat TONESHELL prin încărcare laterală DLL; rolul principal al malware-ului în aceste operațiuni a fost de a prelua și instala sarcini utile ulterioare de pe un server controlat de operator.

LANȚURI DE ATAC ȘI FAMILII ASOCIATE

Spear-phishing-ul rămâne vectorul inițial de acces preferat: e-mailurile direcționate elimină încărcătoare care apoi lansează familii precum PUBLOAD sau TONESHELL. PUBLOAD se comportă similar cu TONESHELL și s-a observat că preia cod shell din infrastructura C2 folosind cereri HTTP POST. Odată ce încărcătorul rulează, etapele ulterioare sunt preluate și executate pentru a extinde accesul sau a persista.

VARIANTE DE TONESHELL

Cercetătorii au etichetat noile versiuni observate TONESHELL8 și TONESHELL9. Printre modificările cheie se numără:

Capacitatea de a direcționa traficul C2 prin servere proxy configurate local, ajutând la îmbinarea traficului cu traficul legitim al companiei și reducând detectarea bazată pe rețea.
Suport pentru rularea simultană a două shell-uri inverse, oferind operatorilor acces interactiv redundant la gazdele compromise.
În TONESHELL8, includerea de cod aparent irelevant sau „junk” preluat de pe paginile web ChatGPT ale OpenAI, încorporat în funcții malware - o tehnică probabilă de a împiedica analiza statică și de a evita semnăturile care se bazează pe modele de cod așteptate.

IMPACT ȘI IMPLICAȚII OPERAȚIONALE

Aceste dezvoltări arată un accent pus pe ascundere, reziliență și precizie în direcționare. Verificările geografice ale execuției (SnakeDisk), utilizarea proxy-urilor și canalele interactive duale cresc flexibilitatea operatorului, complicând în același timp detectarea și răspunsul. Inserarea de cod web fără legătură în versiunile binare este un pas deliberat împotriva analizei, care poate estompa triajul bazat pe instrumente.

Procesorul de plăți de la EnigmaSoft Digital River GmbH Depunerea de faliment nu afectează protecția anti-malware a clienților SpyHunter

Căutare

Schimbați regiunea

TONESHELL Backdoor

TONESHELL — Origine și utilizare anterioară

LANȚURI DE ATAC ȘI FAMILII ASOCIATE

VARIANTE DE TONESHELL

IMPACT ȘI IMPLICAȚII OPERAȚIONALE

Trimite comentariu

Trending

Powerpcsupport.com

Knuckledd.com

Rețea dominantă

Cele mai văzute

Programe malware

Înșelătorie prin e-mail „Geek Squad”.

XHAMSTER Ransomware