عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة الباب الخلفي لـ TONESHELL

الباب الخلفي لـ TONESHELL

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT), الأبواب الخلفية
ترجمة الى:

قامت مجموعة تجسس صينية، يُحتمل أنها مدعومة من الدولة، والتي يتعقبها المدافعون منذ فترة طويلة، بتحديث مجموعة أدواتها. لاحظ الباحثون الذين يتتبعون المجموعة (التي تُتعقب داخليًا باسم Hive0154) عائلةً مُحسّنةً من البرامج الخبيثة تُسمى TONESHELL، ودودةً غير مُبلغ عنها سابقًا تُنشر عبر USB تُسمى SnakeDisk. تنشط هذه المجموعة منذ عام 2012 على الأقل، وتُتعقب تحت العديد من الأسماء الصناعية، بما في ذلك BASIN وBronze President وCamaro Dragon وEarth Preta وHoneyMyte وPolaris وRedDelta وStately Taurus وTwill Typhoon، بالإضافة إلى علامة التتبع Hive0154.

TONESHELL — الأصل والاستخدام السابق

ظهر TONESHELL لأول مرة في التقارير العامة في نوفمبر 2022 بعد سلسلة من عمليات الاختراق التي رُصدت بين مايو وأكتوبر 2022، والتي أثرت على أهداف في ميانمار وأستراليا والفلبين واليابان وتايوان. تاريخيًا، كان المشغلون يُطلقون TONESHELL عبر التحميل الجانبي لملفات DLL؛ وكان الدور الرئيسي للبرامج الضارة في هذه العمليات هو جلب حمولات لاحقة وتثبيتها من خادم يتحكم فيه المشغل.

سلاسل الهجوم والعائلات ذات الصلة

لا يزال التصيد الاحتيالي هو ناقل الوصول الأولي المفضل: تُرسل رسائل البريد الإلكتروني المستهدفة مُحمّلات عشوائية تُطلق بدورها عائلات مثل PUBLOAD أو TONESHELL. يُشبه PUBLOAD سلوك TONESHELL، وقد لوحظ استرجاعه لشيفرة shellcode من البنية التحتية C2 باستخدام طلبات HTTP POST. بمجرد تشغيل المُحمّل، يتم جلب المراحل اللاحقة وتنفيذها لتوسيع نطاق الوصول أو استمراره.

متغيرات TONESHELL

أطلق الباحثون على التكوينات المرصودة حديثًا اسمي TONESHELL8 وTONESHELL9. وتشمل التغييرات الرئيسية ما يلي:

  • القدرة على توجيه حركة المرور C2 عبر خوادم وكيلة تم تكوينها محليًا، مما يساعد حركة المرور على الاندماج مع حركة مرور المؤسسة المشروعة والحد من الاكتشاف المستند إلى الشبكة.
  • دعم تشغيل غلافين عكسيين في وقت واحد، مما يمنح المشغلين إمكانية الوصول التفاعلي المتكرر إلى المضيفين المعرضين للخطر.
  • في TONESHELL8، تم تضمين تعليمات برمجية غير ذات صلة أو "غير مرغوب فيها" مأخوذة من صفحات الويب ChatGPT الخاصة بـ OpenAI في وظائف البرامج الضارة - وهي تقنية محتملة لإعاقة التحليل الثابت والتهرب من التوقيعات التي تعتمد على أنماط التعليمات البرمجية المتوقعة.

التأثير والتداعيات التشغيلية

تُظهر هذه التطورات تركيزًا على التخفي والمرونة والاستهداف الدقيق. تُعزز عمليات التحقق من التنفيذ الجغرافي (SnakeDisk)، واستخدام الوكيل، والقنوات التفاعلية المزدوجة، مرونة المُشغّل مع تعقيد عملية الكشف والاستجابة. يُعدّ إدراج شيفرة برمجية غير ذات صلة مستمدة من الويب في عمليات البناء الثنائية خطوةً مُتعمدةً تُعيق عملية التحليل، مما قد يُضعف عملية الفرز القائمة على الأدوات.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,281
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...