TONESHELL Backdoor

చైనాతో అనుసంధానించబడిన, బహుశా రాష్ట్ర-ప్రాయోజిత గూఢచర్య సమూహం చాలా కాలంగా డిఫెండర్లచే ట్రాక్ చేయబడి, దాని టూల్‌కిట్‌ను అప్‌గ్రేడ్ చేసింది. క్లస్టర్‌ను అనుసరించే పరిశోధకులు (అంతర్గతంగా Hive0154గా ట్రాక్ చేయబడింది) TONESHELL అనే మెరుగైన బ్యాక్‌డోర్ కుటుంబాన్ని మరియు గతంలో నివేదించబడని USB-ప్రచారం చేసే వార్మ్‌ను SnakeDisk అని పిలుస్తారు. ఈ నటుడు కనీసం 2012 నుండి చురుకుగా ఉన్నాడు మరియు BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon మరియు ట్రాకింగ్ లేబుల్ Hive0154తో సహా అనేక పరిశ్రమ పేర్లతో ట్రాక్ చేయబడుతున్నాడు.

టోన్‌షెల్ — మూలం మరియు ముందు ఉపయోగం

2022 మే మరియు అక్టోబర్ మధ్య మయన్మార్, ఆస్ట్రేలియా, ఫిలిప్పీన్స్, జపాన్ మరియు తైవాన్‌లలో లక్ష్యాలను ప్రభావితం చేసిన వరుస చొరబాట్ల తర్వాత TONESHELL మొదటిసారి నవంబర్ 2022లో పబ్లిక్ రిపోర్టింగ్‌లో కనిపించింది. చారిత్రాత్మకంగా, ఆపరేటర్లు DLL సైడ్-లోడింగ్ ద్వారా TONESHELLను ప్రారంభించారు; ఆ కార్యకలాపాలలో మాల్వేర్ యొక్క ప్రధాన పాత్ర ఆపరేటర్-నియంత్రిత సర్వర్ నుండి ఫాలో-ఆన్ పేలోడ్‌లను పొందడం మరియు ఇన్‌స్టాల్ చేయడం.

అటాక్ చైన్లు & సంబంధిత కుటుంబాలు

స్పియర్-ఫిషింగ్ ప్రాధాన్యత కలిగిన ప్రారంభ యాక్సెస్ వెక్టర్‌గా మిగిలిపోయింది: లక్ష్యంగా ఉన్న ఇమెయిల్‌లు PUBLOAD లేదా TONESHELL వంటి కుటుంబాలను ప్రారంభించే లోడర్‌లను వదిలివేస్తాయి. PUBLOAD TONESHELL మాదిరిగానే ప్రవర్తిస్తుంది మరియు HTTP POST అభ్యర్థనలను ఉపయోగించి C2 మౌలిక సదుపాయాల నుండి షెల్‌కోడ్‌ను తిరిగి పొందడం గమనించబడింది. లోడర్ అమలు అయిన తర్వాత, తదుపరి దశలు పొందబడతాయి మరియు యాక్సెస్‌ను విస్తరించడానికి లేదా కొనసాగడానికి అమలు చేయబడతాయి.

టోన్‌షెల్ వేరియంట్లు

పరిశోధకులు కొత్తగా పరిశీలించిన నిర్మాణాలకు TONESHELL8 మరియు TONESHELL9 అని పేరు పెట్టారు. ముఖ్యమైన మార్పులు:

• స్థానికంగా కాన్ఫిగర్ చేయబడిన ప్రాక్సీ సర్వర్‌ల ద్వారా C2 ట్రాఫిక్‌ను రూట్ చేసే సామర్థ్యం, ట్రాఫిక్‌ను చట్టబద్ధమైన ఎంటర్‌ప్రైజ్ ట్రాఫిక్‌తో కలపడానికి సహాయపడుతుంది మరియు నెట్‌వర్క్ ఆధారిత గుర్తింపును తగ్గిస్తుంది.
• రెండు రివర్స్ షెల్‌లను ఏకకాలంలో అమలు చేయడానికి మద్దతు, ఆపరేటర్లకు రాజీపడిన హోస్ట్‌లకు అనవసరమైన ఇంటరాక్టివ్ యాక్సెస్‌ను ఇస్తుంది.
• TONESHELL8లో, మాల్వేర్ ఫంక్షన్లలో పొందుపరచబడిన OpenAI యొక్క ChatGPT వెబ్ పేజీల నుండి తీసుకోబడిన అసంబద్ధమైన లేదా 'జంక్' కోడ్‌ను చేర్చడం - స్టాటిక్ విశ్లేషణను అడ్డుకునే మరియు ఆశించిన కోడ్ నమూనాలపై ఆధారపడే సంతకాలను తప్పించుకునే అవకాశం ఉన్న సాంకేతికత.

కార్యాచరణ ప్రభావం & చిక్కులు

ఈ పరిణామాలు స్టెల్త్, స్థితిస్థాపకత మరియు ఖచ్చితత్వ లక్ష్యాలపై ప్రాధాన్యతను చూపుతాయి. భౌగోళిక అమలు తనిఖీలు (స్నేక్‌డిస్క్), ప్రాక్సీ వినియోగం మరియు డ్యూయల్ ఇంటరాక్టివ్ ఛానెల్‌లు ఆపరేటర్ వశ్యతను పెంచుతాయి, అదే సమయంలో గుర్తింపు మరియు ప్రతిస్పందనను క్లిష్టతరం చేస్తాయి. బైనరీ బిల్డ్‌లలో సంబంధం లేని వెబ్-సోర్స్డ్ కోడ్‌ను చొప్పించడం అనేది ఉద్దేశపూర్వక వ్యతిరేక విశ్లేషణ దశ, ఇది సాధన-ఆధారిత ట్రయేజ్‌ను మొద్దుబారిస్తుంది.