TONESHELL ब्याकडोर

चीन-समर्थित, सम्भवतः राज्य-प्रायोजित जासुसी समूहले लामो समयदेखि रक्षकहरूद्वारा ट्र्याक गरिएको आफ्नो टुलकिट अपग्रेड गरेको छ। क्लस्टर (आन्तरिक रूपमा Hive0154 को रूपमा ट्र्याक गरिएको) पछ्याउने अनुसन्धानकर्ताहरूले TONESHELL भनिने एक उन्नत ब्याकडोर परिवार र पहिले रिपोर्ट नगरिएको USB-प्रचार गर्ने किरालाई SnakeDisk भनिने अवलोकन गरेका छन्। अभिनेता कम्तिमा २०१२ देखि सक्रिय छन् र BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon, र ट्र्याकिङ लेबल Hive0154 सहित धेरै उद्योग नामहरू अन्तर्गत ट्र्याक गरिएको छ।

टोनेशेल — उत्पत्ति र पूर्व प्रयोग

टोनेशेल पहिलो पटक नोभेम्बर २०२२ मा सार्वजनिक रिपोर्टिङमा देखा पर्‍यो जब मे र अक्टोबर २०२२ को बीचमा म्यानमार, अष्ट्रेलिया, फिलिपिन्स, जापान र ताइवानका लक्ष्यहरूलाई असर गर्ने श्रृंखलाबद्ध घुसपैठहरू देखा पर्‍यो। ऐतिहासिक रूपमा, अपरेटरहरूले DLL साइड-लोडिङ मार्फत टोनेशेल सुरु गरेका छन्; ती अपरेशनहरूमा मालवेयरको मुख्य भूमिका अपरेटर-नियन्त्रित सर्भरबाट फलो-अन पेलोडहरू ल्याउनु र स्थापना गर्नु थियो।

आक्रमण चेन र सम्बन्धित परिवारहरू

स्पियर-फिसिङ अझै पनि रुचाइएको प्रारम्भिक पहुँच भेक्टर नै हो: लक्षित इमेलहरूले लोडरहरू छोड्छन् जसले त्यसपछि PUBLOAD वा TONESHELL जस्ता परिवारहरू सुरु गर्छन्। PUBLOAD ले TONESHELL जस्तै व्यवहार गर्छ र HTTP POST अनुरोधहरू प्रयोग गरेर C2 पूर्वाधारबाट शेलकोड प्राप्त गर्ने अवलोकन गरिएको छ। एक पटक लोडर चलिसकेपछि, पहुँच विस्तार गर्न वा कायम राख्नको लागि पछिल्ला चरणहरू प्राप्त गरिन्छ र कार्यान्वयन गरिन्छ।

टोनेशेल भेरियन्टहरू

अनुसन्धानकर्ताहरूले भर्खरै अवलोकन गरिएका निर्माणहरूलाई TONESHELL8 र TONESHELL9 नाम दिएका छन्। प्रमुख परिवर्तनहरू समावेश छन्:

• स्थानीय रूपमा कन्फिगर गरिएका प्रोक्सी सर्भरहरू मार्फत C2 ट्राफिकलाई रूट गर्ने क्षमता, ट्राफिकलाई वैध इन्टरप्राइज ट्राफिकसँग मिसाउन मद्दत गर्ने र नेटवर्क-आधारित पत्ता लगाउने क्षमता घटाउने।
• दुई रिभर्स शेलहरू एकैसाथ चलाउनको लागि समर्थन, अपरेटरहरूलाई सम्झौता गरिएका होस्टहरूमा अनावश्यक अन्तरक्रियात्मक पहुँच प्रदान गर्दै।
• TONESHELL8 मा, OpenAI को ChatGPT वेब पृष्ठहरूबाट लिइएको स्पष्ट रूपमा अप्रासंगिक वा 'जंक' कोडलाई मालवेयर प्रकार्यहरूमा एम्बेड गरिएको समावेश गरिएको छ - स्थिर विश्लेषणलाई बाधा पुर्‍याउने र अपेक्षित कोड ढाँचाहरूमा निर्भर हस्ताक्षरहरूबाट बच्ने सम्भावित प्रविधि।

परिचालन प्रभाव र प्रभावहरू

यी विकासहरूले स्टिल्थ, लचिलोपन, र सटीक लक्ष्यीकरणमा जोड दिन्छन्। भौगोलिक कार्यान्वयन जाँचहरू (स्नेकडिस्क), प्रोक्सी प्रयोग, र दोहोरो अन्तरक्रियात्मक च्यानलहरूले पत्ता लगाउने र प्रतिक्रियालाई जटिल बनाउँदै अपरेटर लचिलोपन बढाउँछन्। बाइनरी निर्माणहरूमा असंबद्ध वेब-सोर्स गरिएको कोडको सम्मिलन एक जानाजानी विश्लेषण विरोधी कदम हो जसले उपकरण-आधारित ट्राइजलाई धमिलो पार्न सक्छ।