قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار درب پشتی TONESHEL

درب پشتی TONESHEL

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT), درهای پشتی
ترجمه به:

یک گروه جاسوسی وابسته به چین که احتمالاً تحت حمایت دولت است و مدت‌هاست توسط مدافعان سایبری ردیابی می‌شود، ابزار خود را ارتقا داده است. محققانی که این خوشه را دنبال می‌کنند (که در داخل با نام Hive0154 ردیابی می‌شود) یک خانواده‌ی درب پشتی بهبود یافته به نام TONESHELL و یک کرم منتشرکننده‌ی USB به نام SnakeDisk که قبلاً گزارش نشده بود را مشاهده کرده‌اند. این عامل حداقل از سال ۲۰۱۲ فعال بوده و با نام‌های صنعتی بسیاری از جمله BASIN، Bronze President، Camaro Dragon، Earth Preta، HoneyMyte، Polaris، RedDelta، Stately Taurus، Twill Typhoon و برچسب ردیابی Hive0154 ردیابی می‌شود.

تون‌شل - خاستگاه و کاربرد پیشین

TONESHELL اولین بار در نوامبر ۲۰۲۲ پس از مجموعه‌ای از نفوذهای مشاهده‌شده بین ماه مه و اکتبر ۲۰۲۲ که اهدافی را در میانمار، استرالیا، فیلیپین، ژاپن و تایوان تحت تأثیر قرار داد، در گزارش‌های عمومی ظاهر شد. از نظر تاریخی، اپراتورها TONESHELL را از طریق بارگذاری جانبی DLL راه‌اندازی کرده‌اند؛ نقش اصلی این بدافزار در این عملیات‌ها، دریافت و نصب پی‌لودهای بعدی از یک سرور تحت کنترل اپراتور بود.

زنجیره‌های حمله و خانواده‌های مرتبط

فیشینگ هدفمند همچنان روش دسترسی اولیه ترجیحی است: ایمیل‌های هدفمند، لودرهایی را رها می‌کنند که سپس خانواده‌هایی مانند PUBLOAD یا TONESHELL را اجرا می‌کنند. PUBLOAD رفتاری مشابه TONESHELL دارد و مشاهده شده است که با استفاده از درخواست‌های HTTP POST، shellcode را از زیرساخت C2 بازیابی می‌کند. پس از اجرای لودر، مراحل بعدی برای گسترش دسترسی یا تداوم، واکشی و اجرا می‌شوند.

انواع تون‌شل

محققان، ساختارهای جدید مشاهده شده را TONESHELL8 و TONESHELL9 نامگذاری کرده‌اند. تغییرات کلیدی عبارتند از:

  • قابلیت مسیریابی ترافیک C2 از طریق سرورهای پروکسی پیکربندی‌شده محلی، که به ترافیک کمک می‌کند تا با ترافیک قانونی سازمانی ترکیب شود و تشخیص مبتنی بر شبکه را کاهش دهد.
  • پشتیبانی از اجرای همزمان دو پوسته معکوس، که به اپراتورها دسترسی تعاملی اضافی به میزبان‌های آسیب‌دیده می‌دهد.
  • در TONESHELL8، گنجاندن کد ظاهراً نامربوط یا «ناخواسته» که از صفحات وب ChatGPT شرکت OpenAI گرفته شده و در توابع بدافزار جاسازی شده است - روشی احتمالی برای جلوگیری از تحلیل استاتیک و فرار از امضاهایی که به الگوهای کد مورد انتظار متکی هستند.

تأثیر و پیامدهای عملیاتی

این پیشرفت‌ها تأکید بر پنهان‌کاری، انعطاف‌پذیری و هدف‌گیری دقیق را نشان می‌دهند. بررسی‌های اجرای جغرافیایی (SnakeDisk)، استفاده از پروکسی و کانال‌های تعاملی دوگانه، انعطاف‌پذیری اپراتور را افزایش می‌دهند و در عین حال تشخیص و پاسخ را پیچیده می‌کنند. درج کد منبع وب نامرتبط در ساخت‌های باینری، یک گام عمدی ضد تحلیلی است که می‌تواند اولویت‌بندی مبتنی بر ابزار را کند کند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,281
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...