Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Zadné dvierka TONESHELL

Zadné dvierka TONESHELL

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT), Zadné vrátka
Preložiť do:

Špionážna skupina spojená s Čínou a pravdepodobne sponzorovaná štátom, ktorú dlhodobo sledujú obhajcovia, vylepšila svoje nástroje. Výskumníci sledujúci klaster (interne sledovaný ako Hive0154) spozorovali vylepšenú rodinu zadných vrátok s názvom TONESHELL a predtým nehláseného červa šíriaceho sa cez USB s názvom SnakeDisk. Tento aktér je aktívny minimálne od roku 2012 a je sledovaný pod mnohými názvami v odvetví, vrátane BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon a sledovacieho označenia Hive0154.

TONESHELL — Pôvod a predchádzajúce použitie

TONESHELL sa prvýkrát objavil vo verejných správach v novembri 2022 po sérii narušení pozorovaných medzi májom a októbrom 2022, ktoré postihli ciele v Mjanmarsku, Austrálii, na Filipínach, v Japonsku a na Taiwane. Historicky operátori spúšťali TONESHELL prostredníctvom bočného načítavania DLL; hlavnou úlohou malvéru v týchto operáciách bolo načítať a nainštalovať následné užitočné zaťaženia zo servera ovládaného operátorom.

ÚTOČNÉ REŤAZCE A PRÍBUZNÉ RODINY

Spear-phishing zostáva preferovaným vektorom počiatočného prístupu: cielené e-maily nahrádzajú zavádzače, ktoré potom spúšťajú rodiny kódov ako PUBLOAD alebo TONESHELL. PUBLOAD sa správa podobne ako TONESHELL a bolo pozorované, že načítava shellcode z infraštruktúry C2 pomocou požiadaviek HTTP POST. Po spustení zavádzača sa načítajú a vykonajú nasledujúce fázy na rozšírenie prístupu alebo jeho zachovanie.

VARIANTY TÓNOVÉHO OBALU

Výskumníci označili novo pozorované zostavy ako TONESHELL8 a TONESHELL9. Medzi kľúčové zmeny patria:

  • Možnosť smerovať prevádzku C2 cez lokálne nakonfigurované proxy servery, čo pomáha prelínať prevádzku s legitímnou podnikovou prevádzkou a znižuje detekciu v sieti.
  • Podpora pre súčasné spúšťanie dvoch reverzných shellov, čo poskytuje operátorom redundantný interaktívny prístup k napadnutým hostiteľom.
  • V TONESHELL8 je zahrnutie zdanlivo irelevantného alebo „nevyžiadaného“ kódu prevzatého z webových stránok ChatGPT spoločnosti OpenAI vloženého do funkcií škodlivého softvéru – pravdepodobná technika na sťaženie statickej analýzy a obchádzanie podpisov, ktoré sa spoliehajú na očakávané vzory kódu.

PREVÁDZKOVÝ DOPAD A DÔSLEDKY

Tento vývoj ukazuje dôraz na utajenie, odolnosť a presné zacielenie. Geografické kontroly vykonávania (SnakeDisk), používanie proxy a duálne interaktívne kanály zvyšujú flexibilitu operátora a zároveň komplikujú detekciu a reakciu. Vkladanie nesúvisiaceho kódu z webu do binárnych zostavení je zámerný krok proti analýze, ktorý môže oslabiť triedenie založené na nástrojoch.

Trendy

Najviac videné

Načítava...