TONESHELL Cửa sau
Một nhóm gián điệp có liên hệ với Trung Quốc, có khả năng được nhà nước bảo trợ, đã bị các cơ quan bảo vệ theo dõi từ lâu, vừa nâng cấp bộ công cụ của mình. Các nhà nghiên cứu theo dõi cụm này (được theo dõi nội bộ với tên gọi Hive0154) đã phát hiện một họ backdoor được cải tiến có tên là TONESHELL và một loại sâu lây lan qua USB chưa từng được báo cáo trước đây có tên là SnakeDisk. Nhóm này đã hoạt động ít nhất từ năm 2012 và đang được theo dõi dưới nhiều tên gọi khác nhau, bao gồm BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon và nhãn theo dõi Hive0154.
Mục lục
TONESHELL — Nguồn gốc và mục đích sử dụng trước đây
TONESHELL lần đầu tiên xuất hiện trong các báo cáo công khai vào tháng 11 năm 2022 sau một loạt các vụ xâm nhập được ghi nhận từ tháng 5 đến tháng 10 năm 2022, ảnh hưởng đến các mục tiêu ở Myanmar, Úc, Philippines, Nhật Bản và Đài Loan. Trước đây, các nhà điều hành thường khởi chạy TONESHELL thông qua việc tải DLL từ bên ngoài; vai trò chính của phần mềm độc hại trong các hoạt động này là tìm nạp và cài đặt các payload tiếp theo từ một máy chủ do nhà điều hành kiểm soát.
CHUỖI TẤN CÔNG & CÁC GIA ĐÌNH LIÊN QUAN
Spear-phishing vẫn là phương thức truy cập ban đầu được ưa chuộng: email mục tiêu sẽ loại bỏ các trình tải sau đó khởi chạy các họ mã độc như PUBLOAD hoặc TONESHELL. PUBLOAD hoạt động tương tự TONESHELL và đã được quan sát thấy đang truy xuất shellcode từ cơ sở hạ tầng C2 bằng các yêu cầu HTTP POST. Sau khi trình tải chạy, các giai đoạn tiếp theo sẽ được tìm nạp và thực thi để mở rộng quyền truy cập hoặc duy trì.
CÁC BIẾN THỂ TONESHELL
Các nhà nghiên cứu đã đặt tên cho các bản dựng mới được quan sát là TONESHELL8 và TONESHELL9. Những thay đổi chính bao gồm:
- Khả năng định tuyến lưu lượng C2 thông qua các máy chủ proxy được cấu hình cục bộ, giúp lưu lượng hòa trộn với lưu lượng doanh nghiệp hợp pháp và giảm thiểu việc phát hiện dựa trên mạng.
- Hỗ trợ chạy đồng thời hai shell đảo ngược, cung cấp cho người vận hành quyền truy cập tương tác dự phòng vào các máy chủ bị xâm phạm.
- Trong TONESHELL8, việc đưa vào mã không liên quan hoặc mã 'rác' lấy từ các trang web ChatGPT của OpenAI được nhúng vào các chức năng phần mềm độc hại — một kỹ thuật có khả năng cản trở phân tích tĩnh và trốn tránh các chữ ký dựa trên các mẫu mã dự kiến.
TÁC ĐỘNG HOẠT ĐỘNG & Ý NGHĨA
Những phát triển này nhấn mạnh vào tính ẩn danh, khả năng phục hồi và nhắm mục tiêu chính xác. Kiểm tra thực thi địa lý (SnakeDisk), sử dụng proxy và kênh tương tác kép giúp tăng tính linh hoạt cho người vận hành, đồng thời làm phức tạp thêm việc phát hiện và phản ứng. Việc chèn mã nguồn web không liên quan vào các bản dựng nhị phân là một bước chống phân tích có chủ đích, có thể làm giảm hiệu quả của việc phân loại dựa trên công cụ.
