Бекдор TONESHELL
Шпигунська група, пов'язана з Китаєм, ймовірно, спонсорована державою, яку давно відстежують правозахисники, оновила свій інструментарій. Дослідники, які стежать за кластером (який відстежується внутрішньо як Hive0154), виявили покращене сімейство бекдорів під назвою TONESHELL та раніше невідомого USB-черв'яка під назвою SnakeDisk. Цей актор активний щонайменше з 2012 року та відстежується під багатьма галузевими назвами, включаючи BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon та мітку відстеження Hive0154.
Зміст
TONESHELL — Походження та попереднє використання
Вперше про TONESHELL публічно повідомлялося у листопаді 2022 року після серії вторгнень, що спостерігалися між травнем і жовтнем 2022 року, які вразили цілі в М'янмі, Австралії, Філіппінах, Японії та Тайвані. Історично оператори запускали TONESHELL через стороннє завантаження DLL; основною роллю шкідливого програмного забезпечення в цих операціях було отримання та встановлення подальших корисних навантажень із сервера, керованого оператором.
ЛАНЦЮГИ АТАКИ ТА ПОВ’ЯЗАНІ СІМ’Ї
Фішинг залишається переважним вектором початкового доступу: цільові електронні листи розсилають завантажувачі, які потім запускають такі сімейства, як PUBLOAD або TONESHELL. PUBLOAD поводиться подібно до TONESHELL і спостерігається при отриманні шелл-коду з інфраструктури C2 за допомогою HTTP POST-запитів. Після запуску завантажувача наступні етапи завантажуються та виконуються для розширення доступу або збереження.
ВАРІАНТИ ТОНАЛЬНОЇ ОБОЛОНКИ
Дослідники позначили нещодавно виявлені структури TONESHELL8 та TONESHELL9. Ключові зміни включають:
- Можливість маршрутизації C2-трафіку через локально налаштовані проксі-сервери, що допомагає трафіку змішуватися з легітимним корпоративним трафіком та зменшує виявлення на основі мережі.
- Підтримка одночасного запуску двох зворотних оболонок, що надає операторам резервний інтерактивний доступ до скомпрометованих хостів.
- У TONESHELL8 включення очевидно нерелевантного або «непотрібного» коду, взятого з веб-сторінок ChatGPT OpenAI, вбудованого у функції шкідливого програмного забезпечення — ймовірна техніка перешкоджання статичному аналізу та уникнення сигнатур, що залежать від очікуваних шаблонів коду.
ВПЛИВ ТА НАСЛІДКИ НА ОПЕРАЦІЮ
Ці розробки демонструють акцент на прихованості, стійкості та точному таргетуванні. Географічні перевірки виконання (SnakeDisk), використання проксі-сервера та подвійні інтерактивні канали підвищують гнучкість оператора, водночас ускладнюючи виявлення та реагування. Вставка непов’язаного веб-коду в бінарні збірки є навмисним кроком проти аналізу, який може придушити інструментальне сортування.
