TONESHELL Backdoor

Isang grupo ng espiya na nakahanay sa China, malamang na itinataguyod ng estado na matagal nang sinusubaybayan ng mga tagapagtanggol ang nag-upgrade ng toolkit nito. Ang mga mananaliksik na sumusunod sa cluster (na sinusubaybayan sa loob bilang Hive0154) ay nakakita ng pinahusay na pamilya sa backdoor na tinatawag na TONESHELL at isang dati nang hindi naiulat na USB-propagating worm na tinatawag na SnakeDisk. Ang aktor ay naging aktibo mula pa noong 2012 at sinusubaybayan sa ilalim ng maraming pangalan ng industriya, kabilang ang BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon, at ang tracking label na Hive0154.

TONESHELL — Pinagmulan at Naunang Paggamit

Unang lumabas ang TONESHELL sa pampublikong pag-uulat noong Nobyembre 2022 pagkatapos ng serye ng mga panghihimasok na naobserbahan sa pagitan ng Mayo at Oktubre 2022 na nakaapekto sa mga target sa Myanmar, Australia, Pilipinas, Japan, at Taiwan. Sa kasaysayan, inilunsad ng mga operator ang TONESHELL sa pamamagitan ng DLL side-loading; ang pangunahing tungkulin ng malware sa mga operasyong iyon ay ang kumuha at mag-install ng mga follow-on na payload mula sa isang server na kontrolado ng operator.

ATTACK CHAIN & KAUGNAY NA PAMILYA

Ang spear-phishing ay nananatiling ang gustong paunang access vector: ang mga naka-target na email ay nag-drop ng mga loader na pagkatapos ay naglulunsad ng mga pamilya gaya ng PUBLOAD o TONESHELL. Ang PUBLOAD ay kumikilos katulad ng TONESHELL at naobserbahang kumukuha ng shellcode mula sa imprastraktura ng C2 gamit ang mga kahilingan sa HTTP POST. Sa sandaling tumakbo ang loader, ang mga kasunod na yugto ay kinukuha at isasagawa upang palawakin ang access o magpatuloy.

TONESHELL VARIANTS

Nilagyan ng label ng mga mananaliksik ang mga bagong naobserbahang build na TONESHELL8 at TONESHELL9. Kabilang sa mga pangunahing pagbabago ang:

• Ang kakayahang iruta ang trapiko ng C2 sa pamamagitan ng mga proxy server na na-configure nang lokal, na tumutulong sa trapiko na ihalo sa lehitimong trapiko ng enterprise at binabawasan ang pagtuklas na nakabatay sa network.
• Suporta para sa pagpapatakbo ng dalawang reverse shell nang sabay-sabay, na nagbibigay sa mga operator ng labis na interactive na access sa mga nakompromisong host.
• Sa TONESHELL8, ang pagsasama ng tila walang kaugnayan o 'junk' na code na kinuha mula sa mga web page ng ChatGPT ng OpenAI na naka-embed sa mga function ng malware — isang malamang na pamamaraan upang hadlangan ang static na pagsusuri at iwasan ang mga lagda na umaasa sa mga inaasahang pattern ng code.

OPERASYONAL NA EPEKTO AT IMPLIKASYON

Ang mga pag-unlad na ito ay nagpapakita ng diin sa stealth, resilience, at precision targeting. Ang geographic execution checks (SnakeDisk), proxy usage, at dalawahang interactive na channel ay nagpapataas ng flexibility ng operator habang ginagawang kumplikado ang pagtuklas at pagtugon. Ang paglalagay ng hindi nauugnay na web-sourced code sa mga binary build ay isang sadyang anti-analysis na hakbang na maaaring mapurol ang tool-based na triage.