TONESHELLバックドア

長らくディフェンダーによって追跡されてきた、中国と連携し、おそらく国家の支援を受けているスパイ活動グループが、ツールキットをアップグレードしました。このクラスター（内部ではHive0154として追跡）を追跡している研究者は、TONESHELLと呼ばれる強化されたバックドアファミリーと、これまで報告されていなかったUSB経由で拡散するワーム「SnakeDisk」の存在を確認しました。このグループは少なくとも2012年から活動しており、BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoon、そして追跡ラベルHive0154など、様々な業界用語で追跡されています。

TONESHELL — 起源と以前の使用

TONESHELLは、2022年5月から10月にかけてミャンマー、オーストラリア、フィリピン、日本、台湾を標的とした一連の侵入が確認された後、2022年11月に初めて公表されました。これまで、攻撃者はDLLサイドローディングを介してTONESHELLを起動してきました。これらの攻撃におけるマルウェアの主な役割は、攻撃者が管理するサーバーから後続のペイロードを取得してインストールすることでした。

攻撃チェーンと関連ファミリー

スピアフィッシングは依然として初期アクセス経路として好まれています。標的型メールはローダーをドロップし、PUBLOADやTONESHELLなどのファミリーを起動します。PUBLOADはTONESHELLと同様に動作し、HTTP POSTリクエストを使用してC2インフラからシェルコードを取得することが確認されています。ローダーが実行されると、後続の段階が取得・実行され、アクセスの拡大や永続化が図られます。

トーンシェルのバリエーション

研究者たちは、新たに観察されたこれらのビルドをTONESHELL8およびTONESHELL9と名付けました。主な変化は以下の通りです。

• C2 トラフィックをローカルに構成されたプロキシ サーバー経由でルーティングする機能により、トラフィックを正当な企業トラフィックと混合し、ネットワークベースの検出を削減できます。
• 2 つのリバース シェルを同時に実行するためのサポートにより、オペレーターは侵害されたホストへの冗長なインタラクティブ アクセスが可能になります。
• TONESHELL8 では、OpenAI の ChatGPT Web ページから取得した明らかに無関係なコードや「ジャンク」コードをマルウェア機能に組み込んでいます。これは、静的分析を妨害し、予想されるコード パターンに依存するシグネチャを回避するための手法であると考えられます。

運用上の影響と意味

これらの開発は、ステルス性、回復力、そして精密な標的設定を重視していることを示しています。地理的実行チェック（SnakeDisk）、プロキシの使用、そして二重のインタラクティブチャネルは、攻撃者の柔軟性を高める一方で、検知と対応を複雑化させます。バイナリビルドに無関係なWebソースコードを挿入することは、意図的な分析回避策であり、ツールベースのトリアージを鈍らせる可能性があります。