ਟੋਨੇਸ਼ੈਲ ਪਿਛਲਾ ਦਰਵਾਜ਼ਾ
ਚੀਨ-ਅਨੁਕੂਲ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਜਾਸੂਸੀ ਸਮੂਹ ਜਿਸਨੂੰ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਡਿਫੈਂਡਰਾਂ ਦੁਆਰਾ ਟਰੈਕ ਕੀਤਾ ਜਾ ਰਿਹਾ ਸੀ, ਨੇ ਆਪਣੀ ਟੂਲਕਿੱਟ ਨੂੰ ਅਪਗ੍ਰੇਡ ਕੀਤਾ ਹੈ। ਕਲੱਸਟਰ (ਅੰਦਰੂਨੀ ਤੌਰ 'ਤੇ Hive0154 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ) ਦੀ ਪਾਲਣਾ ਕਰਨ ਵਾਲੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ TONESHELL ਨਾਮਕ ਇੱਕ ਵਧੇ ਹੋਏ ਬੈਕਡੋਰ ਪਰਿਵਾਰ ਅਤੇ ਇੱਕ ਪਹਿਲਾਂ ਰਿਪੋਰਟ ਨਾ ਕੀਤੇ ਗਏ USB-ਪ੍ਰਚਾਰ ਕਰਨ ਵਾਲੇ ਕੀੜੇ ਨੂੰ ਦੇਖਿਆ ਹੈ ਜਿਸਨੂੰ SnakeDisk ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਅਦਾਕਾਰ ਘੱਟੋ-ਘੱਟ 2012 ਤੋਂ ਸਰਗਰਮ ਹੈ ਅਤੇ ਕਈ ਉਦਯੋਗਿਕ ਨਾਵਾਂ ਹੇਠ ਟਰੈਕ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ, ਜਿਸ ਵਿੱਚ BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon, ਅਤੇ ਟਰੈਕਿੰਗ ਲੇਬਲ Hive0154 ਸ਼ਾਮਲ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਟੋਨੇਸ਼ਲ — ਮੂਲ ਅਤੇ ਪਹਿਲਾਂ ਵਰਤੋਂ
ਟੋਨੇਸ਼ਲ ਪਹਿਲੀ ਵਾਰ ਨਵੰਬਰ 2022 ਵਿੱਚ ਜਨਤਕ ਰਿਪੋਰਟਿੰਗ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਇਆ ਸੀ ਜਦੋਂ ਮਈ ਅਤੇ ਅਕਤੂਬਰ 2022 ਦੇ ਵਿਚਕਾਰ ਕਈ ਘੁਸਪੈਠਾਂ ਵੇਖੀਆਂ ਗਈਆਂ ਸਨ ਜਿਨ੍ਹਾਂ ਨੇ ਮਿਆਂਮਾਰ, ਆਸਟ੍ਰੇਲੀਆ, ਫਿਲੀਪੀਨਜ਼, ਜਾਪਾਨ ਅਤੇ ਤਾਈਵਾਨ ਵਿੱਚ ਟੀਚਿਆਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ ਸੀ। ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ, ਆਪਰੇਟਰਾਂ ਨੇ ਡੀਐਲਐਲ ਸਾਈਡ-ਲੋਡਿੰਗ ਰਾਹੀਂ ਟੋਨੇਸ਼ਲ ਲਾਂਚ ਕੀਤਾ ਹੈ; ਉਨ੍ਹਾਂ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦੀ ਮੁੱਖ ਭੂਮਿਕਾ ਇੱਕ ਆਪਰੇਟਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਤੋਂ ਫਾਲੋ-ਆਨ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਸਥਾਪਤ ਕਰਨਾ ਸੀ।
ਅਟੈਕ ਚੇਨ ਅਤੇ ਸੰਬੰਧਿਤ ਪਰਿਵਾਰ
ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਅਜੇ ਵੀ ਤਰਜੀਹੀ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵੈਕਟਰ ਹੈ: ਟਾਰਗੇਟਡ ਈਮੇਲਾਂ ਲੋਡਰ ਛੱਡਦੀਆਂ ਹਨ ਜੋ ਫਿਰ PUBLOAD ਜਾਂ TONESHELL ਵਰਗੇ ਪਰਿਵਾਰਾਂ ਨੂੰ ਲਾਂਚ ਕਰਦੀਆਂ ਹਨ। PUBLOAD TONESHELL ਵਾਂਗ ਹੀ ਵਿਵਹਾਰ ਕਰਦਾ ਹੈ ਅਤੇ HTTP POST ਬੇਨਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ C2 ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੋਂ ਸ਼ੈੱਲਕੋਡ ਪ੍ਰਾਪਤ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇੱਕ ਵਾਰ ਲੋਡਰ ਚੱਲਣ ਤੋਂ ਬਾਅਦ, ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਣ ਜਾਂ ਕਾਇਮ ਰੱਖਣ ਲਈ ਅਗਲੇ ਪੜਾਅ ਪ੍ਰਾਪਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਅਤੇ ਚਲਾਏ ਜਾਂਦੇ ਹਨ।
ਟੋਨੇਸ਼ਲ ਵੇਰੀਐਂਟਸ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨਵੇਂ ਦੇਖੇ ਗਏ ਬਿਲਡਾਂ ਨੂੰ TONESHELL8 ਅਤੇ TONESHELL9 ਦਾ ਲੇਬਲ ਦਿੱਤਾ ਹੈ। ਮੁੱਖ ਤਬਦੀਲੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਕੌਂਫਿਗਰ ਕੀਤੇ ਪ੍ਰੌਕਸੀ ਸਰਵਰਾਂ ਰਾਹੀਂ C2 ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੂਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ, ਟ੍ਰੈਫਿਕ ਨੂੰ ਜਾਇਜ਼ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਟ੍ਰੈਫਿਕ ਨਾਲ ਮਿਲਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ ਅਤੇ ਨੈੱਟਵਰਕ-ਅਧਾਰਿਤ ਖੋਜ ਨੂੰ ਘਟਾਉਂਦੀ ਹੈ।
- ਦੋ ਰਿਵਰਸ ਸ਼ੈੱਲ ਇੱਕੋ ਸਮੇਂ ਚਲਾਉਣ ਲਈ ਸਮਰਥਨ, ਓਪਰੇਟਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟਾਂ ਲਈ ਬੇਲੋੜੀ ਇੰਟਰਐਕਟਿਵ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
- TONESHELL8 ਵਿੱਚ, OpenAI ਦੇ ChatGPT ਵੈੱਬ ਪੰਨਿਆਂ ਤੋਂ ਲਏ ਗਏ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਅਪ੍ਰਸੰਗਿਕ ਜਾਂ 'ਜੰਕ' ਕੋਡ ਨੂੰ ਮਾਲਵੇਅਰ ਫੰਕਸ਼ਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ - ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਰੋਕਣ ਅਤੇ ਉਮੀਦ ਕੀਤੇ ਕੋਡ ਪੈਟਰਨਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਵਾਲੇ ਦਸਤਖਤਾਂ ਤੋਂ ਬਚਣ ਲਈ ਇੱਕ ਸੰਭਾਵਿਤ ਤਕਨੀਕ।
ਕਾਰਜਸ਼ੀਲ ਪ੍ਰਭਾਵ ਅਤੇ ਪ੍ਰਭਾਵ
ਇਹ ਵਿਕਾਸ ਸਟੀਲਥ, ਲਚਕਤਾ ਅਤੇ ਸ਼ੁੱਧਤਾ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੇ ਹਨ। ਭੂਗੋਲਿਕ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਜਾਂਚ (SnakeDisk), ਪ੍ਰੌਕਸੀ ਵਰਤੋਂ, ਅਤੇ ਦੋਹਰੇ ਇੰਟਰਐਕਟਿਵ ਚੈਨਲ ਖੋਜ ਅਤੇ ਜਵਾਬ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੇ ਹੋਏ ਆਪਰੇਟਰ ਲਚਕਤਾ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ। ਬਾਈਨਰੀ ਬਿਲਡਾਂ ਵਿੱਚ ਗੈਰ-ਸੰਬੰਧਿਤ ਵੈੱਬ-ਸਰੋਤ ਕੋਡ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ ਇੱਕ ਜਾਣਬੁੱਝ ਕੇ ਵਿਸ਼ਲੇਸ਼ਣ-ਵਿਰੋਧੀ ਕਦਮ ਹੈ ਜੋ ਟੂਲ-ਅਧਾਰਿਤ ਟ੍ਰਾਈਏਜ ਨੂੰ ਧੁੰਦਲਾ ਕਰ ਸਕਦਾ ਹੈ।
