Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware TONESHELL Backdoor

TONESHELL Backdoor

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:

Një grup spiunazhi i lidhur me Kinën, me shumë gjasa i sponsorizuar nga shteti, i ndjekur prej kohësh nga mbrojtësit, ka përmirësuar mjetet e tij. Studiuesit që ndjekin grumbullin (i ndjekur nga brenda si Hive0154) kanë vëzhguar një familje të zgjeruar të backdoor-eve të quajtur TONESHELL dhe një krimb që përhapet me USB, të pa raportuar më parë, të quajtur SnakeDisk. Aktori ka qenë aktiv që nga të paktën viti 2012 dhe po gjurmohet nën shumë emra të industrisë, duke përfshirë BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon dhe etiketën e gjurmimit Hive0154.

TONESHELL — Origjina dhe Përdorimi i Mëparshëm

TONESHELL u shfaq për herë të parë në raportimet publike në nëntor 2022, pas një serie ndërhyrjesh të vëzhguara midis majit dhe tetorit 2022 që prekën objektiva në Myanmar, Australi, Filipine, Japoni dhe Tajvan. Historikisht, operatorët e kanë lançuar TONESHELL nëpërmjet ngarkimit anësor të DLL; roli kryesor i malware në këto operacione ishte të merrte dhe instalonte ngarkesa pasuese nga një server i kontrolluar nga operatori.

ZINXHIRET E SULMEVE DHE FAMILJET E LIDHURA

Spear-phishing mbetet vektori i preferuar i aksesit fillestar: ngarkues të emaileve të synuara që më pas lëshojnë familje të tilla si PUBLOAD ose TONESHELL. PUBLOAD sillet në mënyrë të ngjashme me TONESHELL dhe është vërejtur duke marrë shellcode nga infrastruktura C2 duke përdorur kërkesa HTTP POST. Pasi ngarkuesi të ekzekutohet, fazat pasuese merren dhe ekzekutohen për të zgjeruar aksesin ose për të vazhduar.

VARIANTE TONESHELL

Studiuesit i kanë etiketuar versionet e reja të vëzhguara TONESHELL8 dhe TONESHELL9. Ndryshimet kryesore përfshijnë:

  • Mundësia për të drejtuar trafikun C2 përmes serverëve proxy të konfiguruar lokalisht, duke ndihmuar në përzierjen e trafikut me trafikun legjitim të ndërmarrjes dhe duke zvogëluar zbulimin e bazuar në rrjet.
  • Mbështetje për ekzekutimin e dy shell-eve të kundërt njëkohësisht, duke u dhënë operatorëve akses interaktiv të tepërt në host-et e kompromentuar.
  • Në TONESHELL8, përfshirja e kodit në dukje të parëndësishëm ose 'të padëshiruar' të marrë nga faqet e internetit ChatGPT të OpenAI është integruar në funksionet e programeve keqdashëse — një teknikë e mundshme për të penguar analizën statike dhe për të shmangur nënshkrimet që mbështeten në modelet e pritura të kodit.

NDIKIMI DHE IMPLIKIMET OPERACIONALE

Këto zhvillime tregojnë një theks në fshehtësi, qëndrueshmëri dhe shënjestrim preciz. Kontrollet e ekzekutimit gjeografik (SnakeDisk), përdorimi i serverit proxy dhe kanalet e dyfishta interaktive rrisin fleksibilitetin e operatorit, ndërkohë që ndërlikojnë zbulimin dhe reagimin. Futja e kodit të palidhur me burim nga uebi në ndërtimet binare është një hap i qëllimshëm anti-analizë që mund të dobësojë triazhin e bazuar në mjete.

Në trend

Më e shikuara

Po ngarkohet...