Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware TONESHELL-Hintertür

TONESHELL-Hintertür

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren
Übersetzen Sie in:

Eine mit China verbündete, vermutlich staatlich geförderte Spionagegruppe, die seit langem von Cyberkriminellen verfolgt wird, hat ihr Toolkit erweitert. Forscher, die den Cluster (intern als Hive0154 bezeichnet) verfolgen, haben eine erweiterte Backdoor-Familie namens TONESHELL und einen bisher nicht gemeldeten USB-verbreitenden Wurm namens SnakeDisk beobachtet. Der Akteur ist seit mindestens 2012 aktiv und wird unter vielen Branchennamen verfolgt, darunter BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon und dem Tracking-Label Hive0154.

TONESHELL – Herkunft und Vornutzung

TONESHELL tauchte erstmals im November 2022 in der Öffentlichkeit auf, nachdem zwischen Mai und Oktober 2022 eine Reihe von Angriffen auf Ziele in Myanmar, Australien, den Philippinen, Japan und Taiwan beobachtet worden waren. In der Vergangenheit starteten die Betreiber TONESHELL per DLL-Sideloading. Die Hauptaufgabe der Malware bestand dabei darin, nachfolgende Payloads von einem vom Betreiber kontrollierten Server abzurufen und zu installieren.

ANGRIFFSKETTEN UND VERWANDTE FAMILIEN

Spear-Phishing bleibt der bevorzugte erste Zugriffsvektor: Gezielte E-Mails platzieren Loader, die dann Familien wie PUBLOAD oder TONESHELL starten. PUBLOAD verhält sich ähnlich wie TONESHELL und wurde beim Abrufen von Shellcode aus der C2-Infrastruktur mithilfe von HTTP-POST-Anfragen beobachtet. Sobald der Loader läuft, werden nachfolgende Phasen abgerufen und ausgeführt, um den Zugriff zu erweitern oder aufrechtzuerhalten.

TONSCHALE-VARIANTEN

Die Forscher haben die neu beobachteten Builds TONESHELL8 und TONESHELL9 genannt. Zu den wichtigsten Änderungen gehören:

  • Die Möglichkeit, C2-Verkehr über lokal konfigurierte Proxyserver zu leiten, wodurch der Verkehr mit dem legitimen Unternehmensverkehr vermischt und die netzwerkbasierte Erkennung reduziert wird.
  • Unterstützung für die gleichzeitige Ausführung von zwei Reverse Shells, wodurch den Betreibern redundanter interaktiver Zugriff auf kompromittierte Hosts gewährt wird.
  • In TONESHELL8 wurde scheinbar irrelevanter oder „Junk“-Code von den ChatGPT-Webseiten von OpenAI in Malware-Funktionen eingebettet – eine wahrscheinliche Technik, um statische Analysen zu behindern und Signaturen zu umgehen, die auf erwarteten Codemustern basieren.

AUSWIRKUNGEN UND KONSEQUENZEN AUF DEN BETRIEB

Diese Entwicklungen legen den Schwerpunkt auf Tarnung, Resilienz und präzise Zielerfassung. Geografische Ausführungsprüfungen (SnakeDisk), Proxy-Nutzung und duale interaktive Kanäle erhöhen die Flexibilität des Betreibers, erschweren aber gleichzeitig die Erkennung und Reaktion. Das Einfügen von nicht verwandtem Web-Code in Binär-Builds ist ein bewusster Anti-Analyse-Schritt, der die toolbasierte Triage beeinträchtigen kann.

Im Trend

Am häufigsten gesehen

Wird geladen...