Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Porte dérobée TONESHELL

Porte dérobée TONESHELL

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT), Portes dérobées
Se traduisent par :

Un groupe d'espionnage allié à la Chine, probablement financé par un État, et traqué de longue date par les défenseurs, a modernisé ses outils. Les chercheurs qui suivent le groupe (suivi en interne sous le nom de Hive0154) ont observé une famille de portes dérobées améliorées appelée TONESHELL et un ver se propageant sur clé USB, jusqu'alors inconnu, baptisé SnakeDisk. L'acteur est actif depuis au moins 2012 et est traqué sous de nombreux noms industriels, notamment BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon et le label de suivi Hive0154.

TONESHELL — Origine et utilisation antérieure

TONESHELL est apparu pour la première fois dans les rapports publics en novembre 2022, après une série d'intrusions observées entre mai et octobre 2022, touchant des cibles au Myanmar, en Australie, aux Philippines, au Japon et à Taïwan. Historiquement, les opérateurs lançaient TONESHELL via le chargement latéral de DLL ; le rôle principal du malware dans ces opérations consistait à récupérer et à installer des charges utiles ultérieures depuis un serveur contrôlé par l'opérateur.

CHAÎNES D’ATTAQUE ET FAMILLES CONNEXES

Le spear-phishing reste le vecteur d'accès initial privilégié : les e-mails ciblés déposent des chargeurs qui lancent ensuite des familles telles que PUBLOAD ou TONESHELL. PUBLOAD se comporte de manière similaire à TONESHELL et a été observé récupérant du shellcode depuis l'infrastructure C2 via des requêtes HTTP POST. Une fois le chargeur exécuté, les étapes suivantes sont récupérées et exécutées pour étendre l'accès ou persister.

VARIANTES DE TONESHELL

Les chercheurs ont baptisé les nouvelles structures observées TONESHELL8 et TONESHELL9. Les principaux changements incluent :

  • La possibilité d'acheminer le trafic C2 via des serveurs proxy configurés localement, aidant le trafic à se mélanger au trafic d'entreprise légitime et réduisant la détection basée sur le réseau.
  • Prise en charge de l'exécution simultanée de deux shells inversés, offrant aux opérateurs un accès interactif redondant aux hôtes compromis.
  • Dans TONESHELL8, l'inclusion de code apparemment non pertinent ou « indésirable » extrait des pages Web ChatGPT d'OpenAI intégré dans des fonctions malveillantes — une technique susceptible d'entraver l'analyse statique et d'échapper aux signatures qui s'appuient sur des modèles de code attendus.

IMPACT ET IMPLICATIONS OPÉRATIONNELLES

Ces développements mettent l'accent sur la furtivité, la résilience et la précision du ciblage. Les contrôles d'exécution géographique (SnakeDisk), l'utilisation de proxys et les doubles canaux interactifs augmentent la flexibilité de l'opérateur tout en complexifiant la détection et la réponse. L'insertion de code web non pertinent dans les versions binaires constitue une mesure délibérée d'anti-analyse susceptible de compromettre le triage basé sur les outils.

Tendance

Le plus regardé

Chargement...