TONESHELL ব্যাকডোর

চীন-সমর্থিত, সম্ভবত রাষ্ট্র-স্পন্সরিত একটি গুপ্তচরবৃত্তি গোষ্ঠী যা দীর্ঘদিন ধরে রক্ষকদের দ্বারা ট্র্যাক করা হয়েছিল, তাদের টুলকিট আপগ্রেড করেছে। ক্লাস্টারটি অনুসরণকারী গবেষকরা (অভ্যন্তরীণভাবে Hive0154 হিসাবে ট্র্যাক করা হয়েছিল) TONESHELL নামক একটি উন্নত ব্যাকডোর পরিবার এবং SnakeDisk নামে একটি পূর্বে রিপোর্ট না করা USB-প্রচারকারী কীট পর্যবেক্ষণ করেছেন। অভিনেতা কমপক্ষে 2012 সাল থেকে সক্রিয় এবং BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon এবং ট্র্যাকিং লেবেল Hive0154 সহ অনেক শিল্প নামে ট্র্যাক করা হচ্ছে।

টোনেশেল — উৎপত্তি এবং পূর্ব ব্যবহার

২০২২ সালের মে থেকে অক্টোবরের মধ্যে মায়ানমার, অস্ট্রেলিয়া, ফিলিপাইন, জাপান এবং তাইওয়ানের লক্ষ্যবস্তুতে একাধিক অনুপ্রবেশের পর ২০২২ সালের নভেম্বরে টোনেশেল প্রথম জনসাধারণের প্রতিবেদনে উপস্থিত হয়। ঐতিহাসিকভাবে, অপারেটররা DLL সাইড-লোডিংয়ের মাধ্যমে টোনেশেল চালু করেছে; এই অপারেশনগুলিতে ম্যালওয়্যারের প্রধান ভূমিকা ছিল অপারেটর-নিয়ন্ত্রিত সার্ভার থেকে ফলো-অন পেলোড আনা এবং ইনস্টল করা।

আক্রমণ শৃঙ্খল এবং সম্পর্কিত পরিবার

স্পিয়ার-ফিশিং এখনও পছন্দের প্রাথমিক অ্যাক্সেস ভেক্টর: লক্ষ্যযুক্ত ইমেলগুলি লোডারগুলিকে ফেলে দেয় যা পরে PUBLOAD বা TONESHELL এর মতো পরিবার চালু করে। PUBLOAD TONESHELL এর মতোই আচরণ করে এবং HTTP POST অনুরোধ ব্যবহার করে C2 অবকাঠামো থেকে শেলকোড পুনরুদ্ধার করতে দেখা গেছে। লোডারটি চালু হয়ে গেলে, অ্যাক্সেস প্রসারিত করতে বা টিকে থাকার জন্য পরবর্তী ধাপগুলি আনা এবং কার্যকর করা হয়।

টোনেশেল ভ্যারিয়েন্টস

গবেষকরা নতুন পর্যবেক্ষণকৃত বিল্ডগুলিকে TONESHELL8 এবং TONESHELL9 নামে চিহ্নিত করেছেন। মূল পরিবর্তনগুলির মধ্যে রয়েছে:

• স্থানীয়ভাবে কনফিগার করা প্রক্সি সার্ভারের মাধ্যমে C2 ট্র্যাফিক রুট করার ক্ষমতা, ট্র্যাফিককে বৈধ এন্টারপ্রাইজ ট্র্যাফিকের সাথে মিশ্রিত করতে সহায়তা করে এবং নেটওয়ার্ক-ভিত্তিক সনাক্তকরণ হ্রাস করে।
• দুটি বিপরীত শেল একসাথে চালানোর জন্য সমর্থন, যা অপারেটরদের আপোস করা হোস্টগুলিতে অপ্রয়োজনীয় ইন্টারেক্টিভ অ্যাক্সেস দেয়।
• TONESHELL8-এ, OpenAI-এর ChatGPT ওয়েব পৃষ্ঠাগুলি থেকে নেওয়া আপাতদৃষ্টিতে অপ্রাসঙ্গিক বা 'জাঙ্ক' কোড ম্যালওয়্যার ফাংশনে এমবেড করা হয়েছে - এটি স্ট্যাটিক বিশ্লেষণকে বাধাগ্রস্ত করার এবং প্রত্যাশিত কোড প্যাটার্নের উপর নির্ভরশীল স্বাক্ষর এড়াতে একটি সম্ভাব্য কৌশল।

অপারেশনাল ইমপ্যাক্ট এবং ইমপ্লিকেশনস

এই উন্নয়নগুলি স্টিলথ, স্থিতিস্থাপকতা এবং নির্ভুল লক্ষ্যবস্তুর উপর জোর দেয়। ভৌগোলিক কার্যকরীকরণ পরীক্ষা (স্নেকডিস্ক), প্রক্সি ব্যবহার এবং দ্বৈত ইন্টারেক্টিভ চ্যানেলগুলি সনাক্তকরণ এবং প্রতিক্রিয়া জটিল করে তোলে এবং অপারেটরের নমনীয়তা বৃদ্ধি করে। বাইনারি বিল্ডগুলিতে সম্পর্কহীন ওয়েব-সোর্সড কোড সন্নিবেশ করা একটি ইচ্ছাকৃত বিশ্লেষণ-বিরোধী পদক্ষেপ যা সরঞ্জাম-ভিত্তিক ট্রায়াজকে ভোঁতা করে দিতে পারে।