Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Puerta trasera TONESHELL

Puerta trasera TONESHELL

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT), Puertas traseras
Traducir a:

Un grupo de espionaje alineado con China, probablemente patrocinado por el Estado, rastreado desde hace tiempo por defensores, ha mejorado sus herramientas. Los investigadores que siguen el clúster (rastreado internamente como Hive0154) han observado una familia mejorada de puertas traseras llamada TONESHELL y un gusano que se propaga por USB, no reportado previamente, llamado SnakeDisk. El actor ha estado activo desde al menos 2012 y se rastrea bajo diversos nombres de la industria, como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon y la etiqueta de rastreo Hive0154.

TONESHELL — Origen y uso previo

TONESHELL apareció por primera vez en informes públicos en noviembre de 2022, tras una serie de intrusiones observadas entre mayo y octubre de 2022 que afectaron a objetivos en Myanmar, Australia, Filipinas, Japón y Taiwán. Históricamente, los operadores han lanzado TONESHELL mediante la carga lateral de DLL; la función principal del malware en estas operaciones era obtener e instalar cargas útiles posteriores desde un servidor controlado por el operador.

CADENAS DE ATAQUE Y FAMILIAS RELACIONADAS

El phishing selectivo sigue siendo el vector de acceso inicial preferido: correos electrónicos dirigidos descargan cargadores que, a su vez, lanzan familias como PUBLOAD o TONESHELL. PUBLOAD se comporta de forma similar a TONESHELL y se ha observado que recupera código shell de la infraestructura C2 mediante solicitudes HTTP POST. Una vez que se ejecuta el cargador, se obtienen y ejecutan las etapas posteriores para ampliar el acceso o persistir.

VARIANTES DE TONESHELL

Los investigadores han denominado las nuevas construcciones observadas como TONESHELL8 y TONESHELL9. Los cambios clave incluyen:

  • La capacidad de enrutar el tráfico C2 a través de servidores proxy configurados localmente, lo que ayuda a que el tráfico se combine con el tráfico empresarial legítimo y reduce la detección basada en la red.
  • Soporte para ejecutar dos shells inversos simultáneamente, brindando a los operadores acceso interactivo redundante a los hosts comprometidos.
  • En TONESHELL8, la inclusión de código aparentemente irrelevante o "basura" tomado de las páginas web ChatGPT de OpenAI incrustado en funciones de malware, una posible técnica para obstaculizar el análisis estático y evadir firmas que se basan en patrones de código esperados.

IMPACTO OPERACIONAL E IMPLICACIONES

Estos desarrollos muestran un énfasis en el sigilo, la resiliencia y la precisión en la selección de objetivos. Las comprobaciones de ejecución geográfica (SnakeDisk), el uso de proxy y los canales interactivos duales aumentan la flexibilidad del operador, a la vez que dificultan la detección y la respuesta. La inserción de código web no relacionado en compilaciones binarias es una medida deliberada contra el análisis que puede dificultar el triaje basado en herramientas.

Tendencias

Mas Visto

Cargando...