TONESHELL बैकडोर
चीन से संबद्ध, संभवतः राज्य-प्रायोजित एक जासूसी समूह, जिस पर लंबे समय से रक्षकों द्वारा नज़र रखी जा रही थी, ने अपने टूलकिट को उन्नत किया है। इस समूह (आंतरिक रूप से Hive0154 के रूप में ट्रैक किया गया) पर नज़र रखने वाले शोधकर्ताओं ने TONESHELL नामक एक उन्नत बैकडोर परिवार और स्नेकडिस्क नामक एक पहले से अप्रकाशित USB-प्रसारक वर्म देखा है। यह समूह कम से कम 2012 से सक्रिय है और इसे कई उद्योग नामों से ट्रैक किया जा रहा है, जिनमें BASIN, ब्रॉन्ज़ प्रेसिडेंट, केमेरो ड्रैगन, अर्थ प्रीटा, हनीमाइट, पोलारिस, रेडडेल्टा, स्टेटली टॉरस, ट्विल टाइफून और ट्रैकिंग लेबल Hive0154 शामिल हैं।
टोनशेल - उत्पत्ति और पूर्व उपयोग
टोनशेल पहली बार नवंबर 2022 में सार्वजनिक रिपोर्टिंग में सामने आया, जब मई और अक्टूबर 2022 के बीच म्यांमार, ऑस्ट्रेलिया, फिलीपींस, जापान और ताइवान में कई घुसपैठ देखी गईं। ऐतिहासिक रूप से, ऑपरेटरों ने टोनशेल को DLL साइड-लोडिंग के माध्यम से लॉन्च किया है; इन ऑपरेशनों में मैलवेयर की मुख्य भूमिका ऑपरेटर-नियंत्रित सर्वर से फॉलो-ऑन पेलोड प्राप्त करना और इंस्टॉल करना था।
हमला श्रृंखला और संबंधित परिवार
स्पीयर-फ़िशिंग अभी भी पसंदीदा प्रारंभिक पहुँच वेक्टर बना हुआ है: लक्षित ईमेल ड्रॉप लोडर को छोड़ देते हैं जो फिर PUBLOAD या TONESHELL जैसे फ़ैमिली लॉन्च करते हैं। PUBLOAD, TONESHELL के समान ही व्यवहार करता है और इसे HTTP POST अनुरोधों का उपयोग करके C2 इन्फ्रास्ट्रक्चर से शेलकोड प्राप्त करते हुए देखा गया है। लोडर के चलने के बाद, पहुँच बढ़ाने या उसे बनाए रखने के लिए बाद के चरणों को प्राप्त और निष्पादित किया जाता है।
टोनशेल वेरिएंट
शोधकर्ताओं ने नए देखे गए बिल्ड को TONESHELL8 और TONESHELL9 नाम दिया है। प्रमुख परिवर्तन इस प्रकार हैं:
- स्थानीय रूप से कॉन्फ़िगर किए गए प्रॉक्सी सर्वर के माध्यम से C2 ट्रैफ़िक को रूट करने की क्षमता, ट्रैफ़िक को वैध एंटरप्राइज़ ट्रैफ़िक के साथ मिश्रित करने में मदद करती है और नेटवर्क-आधारित पहचान को कम करती है।
- दो रिवर्स शेल्स को एक साथ चलाने के लिए समर्थन, जिससे ऑपरेटरों को समझौता किए गए होस्ट्स तक अनावश्यक इंटरैक्टिव पहुंच मिल सके।
- TONESHELL8 में, OpenAI के ChatGPT वेब पेजों से लिए गए स्पष्ट रूप से अप्रासंगिक या 'जंक' कोड को मैलवेयर कार्यों में शामिल किया गया है - जो स्थैतिक विश्लेषण में बाधा डालने और अपेक्षित कोड पैटर्न पर निर्भर हस्ताक्षरों से बचने की एक संभावित तकनीक है।
परिचालन प्रभाव और निहितार्थ
ये विकास गुप्तता, लचीलेपन और सटीक लक्ष्यीकरण पर ज़ोर दर्शाते हैं। भौगोलिक निष्पादन जाँच (स्नेकडिस्क), प्रॉक्सी उपयोग और दोहरे इंटरैक्टिव चैनल, ऑपरेटर के लचीलेपन को बढ़ाते हैं, जबकि पहचान और प्रतिक्रिया को जटिल बनाते हैं। बाइनरी बिल्ड में असंबंधित वेब-स्रोत कोड का सम्मिलन एक जानबूझकर किया गया विश्लेषण-विरोधी कदम है जो टूल-आधारित ट्राइएज को कुंद कर सकता है।
