TONESHELL Arka Kapı

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT), Arka kapılar'de

Çevir:

Uzun süredir savunmacılar tarafından takip edilen, Çin yanlısı, muhtemelen devlet destekli bir casusluk grubu, araç setini geliştirdi. Kümeyi takip eden araştırmacılar (dahili olarak Hive0154 olarak takip ediliyorlar), TONESHELL adlı gelişmiş bir arka kapı ailesi ve daha önce bildirilmemiş, SnakeDisk adlı bir USB yayıcı solucan gözlemlediler. Saldırgan en az 2012'den beri aktif ve BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon ve Hive0154 izleme etiketi gibi birçok sektörel isim altında takip ediliyor.

İçindekiler

TONESHELL — Menşei ve Önceki Kullanım

TONESHELL, Mayıs ve Ekim 2022 arasında Myanmar, Avustralya, Filipinler, Japonya ve Tayvan'daki hedefleri etkileyen bir dizi saldırının ardından Kasım 2022'de kamuoyuna yansıdı. Operatörler, TONESHELL'i DLL yan yüklemesi yoluyla başlatmıştır; bu operasyonlardaki temel rolü, operatör tarafından kontrol edilen bir sunucudan takip eden yükleri alıp yüklemekti.

SALDIRI ZİNCİRLERİ VE İLGİLİ AİLELER

Hedef odaklı kimlik avı, tercih edilen ilk erişim vektörü olmaya devam ediyor: Hedefli e-postalar, PUBLOAD veya TONESHELL gibi aileleri başlatan yükleyicileri bırakıyor. PUBLOAD, TONESHELL'e benzer şekilde davranır ve HTTP POST istekleri kullanarak C2 altyapısından kabuk kodunu aldığı gözlemlenmiştir. Yükleyici çalıştıktan sonra, erişimi genişletmek veya kalıcı hale getirmek için sonraki aşamalar getirilir ve yürütülür.

TONESHELL ÇEŞİTLERİ

Araştırmacılar, yeni gözlemlenen yapıları TONESHELL8 ve TONESHELL9 olarak adlandırdı. Başlıca değişiklikler şunlardır:

C2 trafiğini yerel olarak yapılandırılmış proxy sunucuları üzerinden yönlendirme yeteneği, trafiğin meşru kurumsal trafikle harmanlanmasına yardımcı olur ve ağ tabanlı algılamayı azaltır.
Operatörlere tehlikeye atılmış ana bilgisayarlara yedekli etkileşimli erişim sağlayarak, iki ters kabuğun aynı anda çalıştırılmasına destek sağlar.
TONESHELL8'de, OpenAI'nin ChatGPT web sayfalarından alınan görünüşte alakasız veya 'gereksiz' kodların kötü amaçlı yazılım işlevlerine eklenmesi, statik analizi engellemek ve beklenen kod kalıplarına dayanan imzalardan kaçınmak için olası bir tekniktir.

OPERASYONEL ETKİ VE SONUÇLAR

Bu gelişmeler, gizlilik, dayanıklılık ve hassas hedeflemeye vurgu yapmaktadır. Coğrafi yürütme kontrolleri (SnakeDisk), proxy kullanımı ve çift etkileşimli kanallar, operatör esnekliğini artırırken tespit ve müdahaleyi zorlaştırmaktadır. İkili sürümlere ilgisiz web kaynaklı kod eklenmesi, araç tabanlı sınıflandırmayı zayıflatabilecek kasıtlı bir anti-analiz adımıdır.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

TONESHELL Arka Kapı

TONESHELL — Menşei ve Önceki Kullanım

SALDIRI ZİNCİRLERİ VE İLGİLİ AİLELER

TONESHELL ÇEŞİTLERİ

OPERASYONEL ETKİ VE SONUÇLAR

Yorum Gönder

trend

Powerpcsupport.com

Knuckledd.com

BaskınAğ

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Discord Gri Ekranda Takılıyor

Discord Ekranı Paylaşırken Siyah Ekran Görüyor