Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zadnja vrata TONESHELL

Zadnja vrata TONESHELL

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Zadnja vrata
Prevedi v:

S Kitajsko povezana in verjetno državno sponzorirana vohunska skupina, ki jo zagovorniki že dolgo spremljajo, je nadgradila svoj nabor orodij. Raziskovalci, ki spremljajo skupino (interno sledeno kot Hive0154), so opazili izboljšano družino zadnjih vrat, imenovano TONESHELL, in prej neprijavljenega črva, ki se širi prek USB-ja in je poimenovan SnakeDisk. Akter je aktiven vsaj od leta 2012 in ga spremljajo pod številnimi imeni v industriji, vključno z BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon in sledilno oznako Hive0154.

TONESHELL — Izvor in prejšnja uporaba

TONESHELL se je prvič pojavil v javnosti novembra 2022 po seriji vdorov, opaženih med majem in oktobrom 2022, ki so prizadeli tarče v Mjanmaru, Avstraliji, na Filipinih, Japonskem in Tajvanu. V preteklosti so operaterji zagnali TONESHELL prek stranskega nalaganja DLL; glavna vloga zlonamerne programske opreme v teh operacijah je bila pridobivanje in namestitev nadaljnjih koristnih naklad s strežnika, ki ga nadzoruje operater.

NAPADNE VERIGE IN POROČENE DRUŽINE

Lažno predstavljanje ostaja najprimernejši vektor za začetni dostop: ciljno usmerjena e-poštna sporočila spuščajo nalagalnike, ki nato zaženejo družine kod, kot sta PUBLOAD ali TONESHELL. PUBLOAD se obnaša podobno kot TONESHELL in je bil opažen pri pridobivanju shellcode iz infrastrukture C2 z uporabo zahtev HTTP POST. Ko se nalagalnik zažene, se pridobijo in izvedejo naslednje faze za razširitev dostopa ali ohranitev.

RAZLIČICE TONESHELL

Raziskovalci so na novo opaženi zgradbi poimenovali TONESHELL8 in TONESHELL9. Ključne spremembe vključujejo:

  • Možnost usmerjanja prometa C2 prek lokalno konfiguriranih proxy strežnikov, kar pomaga pri mešanju prometa z legitimnim poslovnim prometom in zmanjšuje zaznavanje v omrežju.
  • Podpora za sočasno izvajanje dveh obratnih lupin, kar operaterjem omogoča redundanten interaktivni dostop do ogroženih gostiteljev.
  • V TONESHELL8 je bila v funkcije zlonamerne programske opreme vdelana navidezno nepomembna ali »nepotrebna« koda, vzeta s spletnih strani OpenAI ChatGPT – verjetna tehnika za oviranje statične analize in izogibanje podpisom, ki se zanašajo na pričakovane vzorce kode.

OPERATIVNI VPLIV IN POSLEDICE

Ta dogajanja kažejo poudarek na prikritosti, odpornosti in natančnem ciljanju. Geografska preverjanja izvajanja (SnakeDisk), uporaba proxyja in dvojni interaktivni kanali povečujejo fleksibilnost operaterja, hkrati pa otežujejo odkrivanje in odzivanje. Vstavljanje nepovezane spletne kode v binarne gradnje je nameren korak proti analizi, ki lahko ovira triažo na podlagi orodij.

V trendu

Najbolj gledan

Nalaganje...