TONESHELL задња врата
Шпијунска група повезана са Кином, вероватно спонзорисана од стране државе, коју браниоци права дуго прате, унапредила је свој алат. Истраживачи који прате кластер (интерно праћен као Hive0154) приметили су побољшану породицу бекдора под називом TONESHELL и раније непријављеног црва који се шири путем УСБ-а, названог SnakeDisk. Актор је активан најмање од 2012. године и прати се под многим именима у индустрији, укључујући BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon и ознаку за праћење Hive0154.
Преглед садржаја
TONESHELL — Порекло и претходна употреба
TONESHELL се први пут појавио у јавности у новембру 2022. године након серије упада примећених између маја и октобра 2022. године, који су погодили мете у Мјанмару, Аустралији, Филипинима, Јапану и Тајвану. Историјски гледано, оператери су покретали TONESHELL путем бочног учитавања DLL-а; главна улога злонамерног софтвера у тим операцијама била је да преузме и инсталира додатне додатке са сервера којим управља оператер.
НАПАДНИ ЛАНЦИ И ПОРОДИЦЕ
Спир-фишинг остаје преферирани вектор почетног приступа: циљани имејлови испуштају програме за учитавање који затим покрећу породице шифри као што су PUBLOAD или TONESHELL. PUBLOAD се понаша слично као TONESHELL и примећен је како преузима шелкод из C2 инфраструктуре користећи HTTP POST захтеве. Када се програм за учитавање покрене, наредне фазе се преузимају и извршавају како би се проширио приступ или сачувао.
ВАРИЈАНТЕ ТОНСХЕЛА
Истраживачи су новооткривене градње означили као TONESHELL8 и TONESHELL9. Кључне промене укључују:
- Могућност усмеравања C2 саобраћаја преко локално конфигурисаних прокси сервера, што помаже да се саобраћај меша са легитимним пословним саобраћајем и смањује детекцију засновану на мрежи.
- Подршка за истовремено покретање две обрнуте шкољке, дајући оператерима редундантни интерактивни приступ угроженим хостовима.
- У TONESHELL8, укључивање очигледно ирелевантног или „нежељеног“ кода преузетог са OpenAI ChatGPT веб страница уграђеног у функције злонамерног софтвера — вероватна техника за ометање статичке анализе и избегавање потписа који се ослањају на очекиване обрасце кода.
ОПЕРАТИВНИ УТИЦАЈ И ИМПЛИКАЦИЈЕ
Ови развоји показују нагласак на прикривености, отпорности и прецизном циљању. Географске провере извршења (SnakeDisk), коришћење проксија и двоструки интерактивни канали повећавају флексибилност оператера, а истовремено компликују откривање и реаговање. Уметање неповезаног веб кода у бинарне верзије је намерни корак против анализе који може отупити тријажу засновану на алатима.
