TONESHELL Backdoor

ក្រុមចារកម្មដែលគាំទ្រដោយរដ្ឋដែលគាំទ្រដោយរដ្ឋដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិនដែលត្រូវបានតាមដានជាយូរមកហើយដោយអ្នកការពារបានធ្វើឱ្យប្រសើរឡើងនូវកញ្ចប់ឧបករណ៍របស់ខ្លួន។ អ្នកស្រាវជ្រាវដែលដើរតាមចង្កោម (តាមដានខាងក្នុងជា Hive0154) បានសង្កេតឃើញក្រុមគ្រួសារខាងក្រោយដែលប្រសើរឡើងហៅថា TONESHELL និងដង្កូវ USB-propagating ដង្កូវដែលមិនបានរាយការណ៍ពីមុនត្រូវបានគេហៅថា SnakeDisk ។ តារាសម្តែងរូបនេះបានសកម្មតាំងពីឆ្នាំ 2012 ហើយកំពុងត្រូវបានតាមដានក្រោមឈ្មោះឧស្សាហកម្មជាច្រើនរួមមាន BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon និងស្លាកតាមដាន Hive0154 ។

TONESHELL - ប្រភពដើម និងការប្រើប្រាស់ពីមុន

TONESHELL បានបង្ហាញខ្លួនជាលើកដំបូងនៅក្នុងការរាយការណ៍ជាសាធារណៈក្នុងខែវិច្ឆិកា ឆ្នាំ 2022 បន្ទាប់ពីមានការឈ្លានពានជាបន្តបន្ទាប់ដែលបានសង្កេតឃើញនៅចន្លោះខែឧសភា និងខែតុលា ឆ្នាំ 2022 ដែលប៉ះពាល់ដល់គោលដៅនៅក្នុងប្រទេសមីយ៉ាន់ម៉ា អូស្ត្រាលី ហ្វីលីពីន ជប៉ុន និងតៃវ៉ាន់។ ជាប្រវត្តិសាស្ត្រ ប្រតិបត្តិករបានបើកដំណើរការ TONESHELL តាមរយៈ DLL side-loading; តួនាទីចម្បងរបស់មេរោគនៅក្នុងប្រតិបត្តិការទាំងនោះគឺដើម្បីទាញយក និងដំឡើងការបញ្ជូនបន្តពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយប្រតិបត្តិករ។

វាយប្រហារខ្សែសង្វាក់ និងក្រុមគ្រួសារដែលពាក់ព័ន្ធ

Spear-phishing នៅតែជាវ៉ិចទ័រចូលប្រើដំបូងដែលពេញចិត្ត៖ អ៊ីមែលដែលបានកំណត់គោលដៅទម្លាក់កម្មវិធីផ្ទុកទិន្នន័យដែលបន្ទាប់មកចាប់ផ្តើមគ្រួសារដូចជា PUBLOAD ឬ TONESHELL ។ PUBLOAD មានឥរិយាបទស្រដៀងទៅនឹង TONESHELL ហើយត្រូវបានគេសង្កេតឃើញថាកំពុងទាញយកកូដសែលពីហេដ្ឋារចនាសម្ព័ន្ធ C2 ដោយប្រើសំណើ HTTP POST ។ នៅពេលដែលកម្មវិធីផ្ទុកដំណើរការដំណើរការ ដំណាក់កាលបន្តបន្ទាប់ត្រូវបានទៅយក និងប្រតិបត្តិដើម្បីពង្រីកការចូលប្រើ ឬបន្ត។

វ៉ារ្យ៉ង់តោន

អ្នកស្រាវជ្រាវ​បាន​ដាក់​ស្លាក​សញ្ញា​បង្កើត​ដែល​បាន​សង្កេត​ថ្មី​ថា TONESHELL8 និង TONESHELL9 ។ ការផ្លាស់ប្តូរសំខាន់ៗរួមមាន:

• សមត្ថភាពក្នុងការបញ្ជូនចរាចរណ៍ C2 តាមរយៈម៉ាស៊ីនមេប្រូកស៊ីដែលបានកំណត់រចនាសម្ព័ន្ធក្នុងមូលដ្ឋាន ជួយចរាចរណ៍បញ្ចូលគ្នាជាមួយចរាចរណ៍សហគ្រាសស្របច្បាប់ និងកាត់បន្ថយការរកឃើញផ្អែកលើបណ្តាញ។
• ការគាំទ្រសម្រាប់ការដំណើរការសែលបញ្ច្រាសពីរក្នុងពេលដំណាលគ្នាដែលផ្តល់ឱ្យប្រតិបត្តិករមិនអាចចូលដំណើរការអន្តរកម្មឡើងវិញទៅម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។
• នៅក្នុង TONESHELL8 ការដាក់បញ្ចូលកូដដែលមិនពាក់ព័ន្ធ ឬ 'សារធាតុឥតបានការ' ដែលយកចេញពីទំព័របណ្តាញ ChatGPT របស់ OpenAI ដែលបានបង្កប់ទៅក្នុងមុខងារមេរោគ ដែលជាបច្ចេកទេសទំនងជារារាំងការវិភាគឋិតិវន្ត និងគេចចេញពីហត្ថលេខាដែលពឹងផ្អែកលើគំរូកូដដែលរំពឹងទុក។

ផលប៉ះពាល់ប្រតិបត្តិការ និងផលប៉ះពាល់

ការអភិវឌ្ឍន៍ទាំងនេះបង្ហាញពីការសង្កត់ធ្ងន់លើការបំបាំងកាយ ភាពធន់ និងការកំណត់គោលដៅច្បាស់លាស់។ ការត្រួតពិនិត្យការប្រតិបត្តិតាមភូមិសាស្ត្រ (SnakeDisk) ការប្រើប្រាស់ប្រូកស៊ី និងបណ្តាញអន្តរកម្មពីរបង្កើនភាពបត់បែនរបស់ប្រតិបត្តិករ ខណៈពេលដែលធ្វើឱ្យស្មុគស្មាញដល់ការរកឃើញ និងការឆ្លើយតប។ ការបញ្ចូលកូដប្រភពគេហទំព័រដែលមិនទាក់ទងគ្នាទៅក្នុងការបង្កើតប្រព័ន្ធគោលពីរ គឺជាជំហានប្រឆាំងនឹងការវិភាគដោយចេតនា ដែលអាចបំប៉ោងការសាកល្បងផ្អែកលើឧបករណ៍។