Rabattoffert för flera licenser
Hotdatabas Skadlig programvara TONESHELL-bakdörr

TONESHELL-bakdörr

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT), Bakdörrar
Översätt till:

En Kina-allierad, troligen statssponsrad spiongrupp som länge spårats av försvarare har uppgraderat sin verktygslåda. Forskare som följer klustret (internt spårat som Hive0154) har observerat en förstärkt bakdörrsfamilj kallad TONESHELL och en tidigare orapporterad USB-spridande mask kallad SnakeDisk. Aktören har varit aktiv sedan åtminstone 2012 och spåras under många branschnamn, inklusive BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon och spårningsetiketten Hive0154.

TONSKAL — Ursprung och tidigare användning

TONESHELL dök först upp i offentlig rapportering i november 2022 efter en serie intrång som observerades mellan maj och oktober 2022 och som drabbade mål i Myanmar, Australien, Filippinerna, Japan och Taiwan. Historiskt sett har operatörer lanserat TONESHELL via DLL-sidladdning; skadlig programvaras huvudroll i dessa operationer var att hämta och installera efterföljande nyttolaster från en operatörsstyrd server.

ATTACKKEDJOR OCH RELATERADE FAMILJER

Spear-phishing är fortfarande den föredragna initiala åtkomstvektorn: riktade e-postmeddelanden via droploaders som sedan startar familjer som PUBLOAD eller TONESHELL. PUBLOAD beter sig på liknande sätt som TONESHELL och har observerats hämta shellkod från C2-infrastruktur med hjälp av HTTP POST-förfrågningar. När laddaren körs hämtas och körs efterföljande steg för att utöka åtkomsten eller behålla åtkomsten.

TONSKALSVARIANTER

Forskare har märkt de nyligen observerade byggnaderna TONESHELL8 och TONESHELL9. Viktiga förändringar inkluderar:

  • Möjligheten att dirigera C2-trafik via lokalt konfigurerade proxyservrar, vilket hjälper trafiken att blandas med legitim företagstrafik och minskar nätverksbaserad detektering.
  • Stöd för att köra två omvända skal samtidigt, vilket ger operatörer redundant interaktiv åtkomst till komprometterade värdar.
  • I TONESHELL8, inkludering av till synes irrelevant eller "skräpkod" hämtad från OpenAI:s ChatGPT-webbsidor inbäddad i skadlig kod – en sannolik teknik för att hindra statisk analys och undvika signaturer som förlitar sig på förväntade kodmönster.

OPERATIV PÅVERKAN OCH IMPLIKATIONER

Denna utveckling visar en betoning på smygande, motståndskraftig och precisionsmålsättning. Geografiska exekveringskontroller (SnakeDisk), proxyanvändning och dubbla interaktiva kanaler ökar operatörens flexibilitet samtidigt som de komplicerar detektering och respons. Infogning av orelaterad webbkod i binära byggen är ett avsiktligt antianalyssteg som kan trubba av verktygsbaserad prioritering.

Trendigt

Mest sedda

Läser in...