TencShell malware
A Cato CTRL kutatása szerint egy feltételezetten kínai kötődésű fenyegető szereplő egy globális gyártóvállalat indiai telephelyét próbálta kompromittálni egy új, eddig nem dokumentált malware-rel, amelyet a kutatók TencShell néven azonosítottak. A támadás egy harmadik félhez tartozó hozzáférésen keresztül indult, ami jól mutatja, hogy a beszállítói és partnerkapcsolatok továbbra is kiemelt belépési pontot jelentenek az állami hátterű kiberkémkedési műveletekben.
A TencShell egy Go nyelven írt implantátum, amely az open source Rshell C2 framework módosított változatára épül. A malware távoli parancsvégrehajtást, memóriában futó payloadok betöltését, proxyzást és laterális mozgást támogat. A támadási lánc során a szereplők Donut shellcode-ot, memóriainjektálást és legitim webes forgalomnak álcázott kommunikációt alkalmaztak, miközben .woff webfont fájlok mögé rejtették a payloadokat.
A Cato szerint a kínai kötődésre több technikai jel utal, az Rshell lineage, a Tencent API-kat imitáló kommunikáció, valamint az infrastruktúra és az operációs minták. Ugyanakkor a kutatók hangsúlyozzák, hogy ezek önmagukban még nem elegendők teljes attribúcióhoz. A támadást még a tartós hozzáférés kialakítása előtt sikerült blokkolni.
A jelentés jól illeszkedik a kínai állami hátterű kiberkémkedési trendekhez, ahol a cél jellemzően hosszú távú hozzáférések megszerzése kritikus infrastruktúrákhoz, gyártási folyamatokhoz és üzleti kapcsolati hálókhoz. A kutatók szerint különösen veszélyes, hogy a támadók legitim partnerkapcsolatokat és trusted connectionöket használnak pivotpontként vállalati hálózatok kompromittálására.
