TONESHELL Backdoor

Шпионская группа, связанная с Китаем и, вероятно, спонсируемая государством, давно отслеживаемая правозащитниками, обновила свой инструментарий. Исследователи, отслеживающие этот кластер (отслеживаемый внутри компании как Hive0154), обнаружили усовершенствованное семейство бэкдоров TONESHELL и ранее не описанного червя SnakeDisk, распространяющегося через USB. Этот злоумышленник активен как минимум с 2012 года и отслеживается под многими отраслевыми названиями, включая BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon и метку отслеживания Hive0154.

TONESHELL — Происхождение и предшествующее использование

TONESHELL впервые появился в публичных отчётах в ноябре 2022 года после серии вторжений, зафиксированных в период с мая по октябрь 2022 года и затронувших объекты в Мьянме, Австралии, на Филиппинах, в Японии и на Тайване. Традиционно операторы запускали TONESHELL посредством загрузки DLL-библиотек; основная роль вредоносной программы в этих операциях заключалась в получении и установке последующих полезных нагрузок с сервера, контролируемого оператором.

ЦЕПИ АТАК И СВЯЗАННЫЕ СЕМЕЙСТВА

Целевой фишинг остаётся предпочтительным вектором первоначального доступа: в целевых письмах размещаются загрузчики, которые затем запускают такие семейства, как PUBLOAD или TONESHELL. PUBLOAD ведёт себя аналогично TONESHELL и, как было замечено, извлекает шелл-код из инфраструктуры C2 с помощью HTTP-запросов POST. После запуска загрузчика извлекаются и выполняются последующие этапы для расширения доступа или сохранения.

ВАРИАНТЫ ТОНАЛЬНОЙ ОБОЛОЧКИ

Исследователи обозначили новые сборки как TONESHELL8 и TONESHELL9. Ключевые изменения включают:

• Возможность маршрутизации трафика C2 через локально настроенные прокси-серверы, что позволяет смешивать трафик с легитимным корпоративным трафиком и снижать вероятность обнаружения на уровне сети.
• Поддержка одновременного запуска двух обратных оболочек, что обеспечивает операторам резервный интерактивный доступ к скомпрометированным хостам.
• В TONESHELL8 включение явно нерелевантного или «мусорного» кода, взятого с веб-страниц OpenAI ChatGPT, встроенного в функции вредоносного ПО, — вероятный метод, позволяющий затруднить статический анализ и обойти сигнатуры, которые основаны на ожидаемых шаблонах кода.

ОПЕРАТИВНОЕ ВОЗДЕЙСТВИЕ И ПОСЛЕДСТВИЯ

Эти разработки демонстрируют акцент на скрытности, устойчивости и точности нацеливания. Географические проверки выполнения (SnakeDisk), использование прокси-серверов и двойные интерактивные каналы повышают гибкость оператора, одновременно усложняя обнаружение и реагирование. Внедрение не связанного веб-кода в двоичные сборки — это преднамеренный шаг, направленный на предотвращение анализа, который может затруднить инструментальную сортировку.