Cato CTRL entdeckt neuen Backdoor-Trojaner TencShell TencShell-Backdoor imitiert Tencent-API-Verkehr zur Tarnung

Quelle: Pressemitteilung Cato Networks 2 min Lesedauer

Anbieter zum Thema

Ein neuer Go-basierter Backdoor-Trojaner namens TencShell tarnt seinen C2-Verkehr als API-Anfragen an den chinesischen Konzern Tencent. Die Malware wird wahrscheinlich von einem chinesischen Akteur eingesetzt und ermöglicht Fernzugriff, Datendiebstahl und laterale Bewegung im Netzwerk.

TencShell verbirgt seinen Backdoor-Verkehr hinter legitimen API-Anfragen und bleibt so für klassische Erkennungsmethoden unsichtbar.(Bild:  Gemini / KI-generiert)
TencShell verbirgt seinen Backdoor-Verkehr hinter legitimen API-Anfragen und bleibt so für klassische Erkennungsmethoden unsichtbar.
(Bild: Gemini / KI-generiert)

Sicherheitsforscher des Cato Networks Cyber Threats Research Lab (CTRL) entdeckten eine neue Schadsoftware mit dem Namen TencShell bei einem gezielten Angriff auf einen globalen Industriehersteller und stoppten ihn, bevor sich die Backdoor dauerhaft festsetzen konnte.

Bei TencShell handelt es sich um ein in Go programmiertes Implantat, das vom Open-Source-C2-Framework Rshell abgeleitet ist. Ein C2-Framework, das über einen Drittanbieter-Zugang eingeschleust wird, kann eine vertrauenswürdige Geschäftsverbindung in ein vom Angreifer kontrolliertes Einfallstor verwandeln. Ein kompromittierter Endpunkt an einem regionalen Standort gefährdet damit nicht nur isolierte Komponenten, sondern faktisch die gesamte Wertschöpfungskette: Lieferantennetze, Produktionsabläufe, geistiges Eigentum, Kundendaten und letztlich die Geschäftskontinuität.

Die Namensgebung von TencShell entspricht der dualen Natur der Malware: „Tenc" verweist auf die täuschend authentisch gestalteten C2-Kommunikationspfade, die das chinesische Technologieunternehmen Tencent imitieren; eine gängige Taktik von Angreifern, um Malware-Datenverkehr als legitime API-Aktivität zu verschleiern. „Shell" charakterisiert die Funktionalität als Remote-Access-Trojaner mit interaktiven Fernsteuerfähigkeiten.

Die Infektionskette

Über eine mehrstufige Infektionskette lädt ein modularer Dropper das Post-Exploitation-Framework TencShell direkt in den Arbeitsspeicher, wo es durch als regulären Web-Traffic getarnte C2-Kommunikation unentdeckt weitreichende Fernzugriffs- und Angriffsfunktionen ermöglicht.(Bild:  CATO Networks)
Über eine mehrstufige Infektionskette lädt ein modularer Dropper das Post-Exploitation-Framework TencShell direkt in den Arbeitsspeicher, wo es durch als regulären Web-Traffic getarnte C2-Kommunikation unentdeckt weitreichende Fernzugriffs- und Angriffsfunktionen ermöglicht.
(Bild: CATO Networks)

Die Infektionsquelle bleibt ungeklärt, dürfte aber auf klassische Intrusions-Vektoren wie Phishing, bösartige Downloads oder webbasierte Exploits zurückgehen. Die beobachtete Infektionskette offenbarte eine raffinierte mehrstufige Eskalation: Der First-Stage-Dropper orchestriert den Abruf des als .woff-Ressource getarnten Donut-Shellcodes, dessen Ausführung das modifizierte Rshell-Framework direkt in den Arbeitsspeicher lädt und damit die Grundlage für die nachfolgende C2-Kommunikation mit der Infrastruktur des Angreifers schafft.

Dieser modulare Aufbau offenbart eine bewusste Designentscheidung des Angreifers: Anstatt das vollständige C2-Framework initial bereitzustellen, bewahrt er operative Flexibilität. Die schlanke Einstiegskomponente bleibt unverändert, während nachgelagerte Payloads separat gehostet, iteriert und aktualisiert werden können.

Das letzte Glied der Infektionskette besteht aus einer Command-and-Control-Kommunikation. TencShell nutzt webähnliche Kommunikationsmuster, die darauf ausgelegt sind, bösartigen Datenverkehr schwerer von normalem Anwendungsdatenverkehr unterscheidbar zu machen. Anstatt offensichtliche Callback-Pfade für Malware zu verwenden, versuchte das Implantat, über strukturierte, API-ähnliche Endpunkte zu kommunizieren, die Anfragen an Backend-Dienste ähnelten.

TencShell verfügt über Funktionen, die mit ausgereiften Post-Exploitation-Frameworks assoziiert werden. Die wiederhergestellten Go-Modulnamen deuten auf die Unterstützung mehrerer risikoreicher Operator-Aktionen hin – darunter die In-Memory-Ausführung, die Ausführung von Modulen im BOF-Stil, Proxying und Tunneling, WebSocket-basiertes C2 sowie Ferninteraktion.

Was tun?

Angreifer benötigen heute keine eigens entwickelten Malware-Pipelines mehr, um ausgeklügelte Angriffe durchzuführen. Oft genügen anpassungsfähige Open-Source-Tools. In diesem Fall scheint TencShell auf Basis von Rshell zu einem praktischen Post-Exploitation-Implantat weiterentwickelt worden zu sein, ausgestattet mit webähnlicher C2-Kommunikation, Payload-Maskierung, In-Memory-Ausführung sowie Pivoting-Fähigkeiten. Anstatt eine völlig neue Malware-Familie zu entwickeln, passte der Angreifer verfügbare offensive Tools an und versuchte, seine Aktivitäten im regulären Unternehmensdatenverkehr zu tarnen.

Im vorliegenden Fall konnte Cato die TencShell-Attacke stoppen. Das gelang, weil die Plattform des Unternehmens durch die Korrelation aller Indizien ein vollständiges Bild ermöglichte: Verdächtige externe Infrastruktur, Artefakte auf Host-Ebene, Verhaltensmuster beim Staging von Payloads sowie C2-ähnliche Kommunikationsvorgänge.

(ID:50882461)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung