TONESHELL Backdoor

กลุ่มจารกรรมที่มีแนวโน้มว่าจะได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งถูกติดตามโดยฝ่ายป้องกันมาอย่างยาวนาน ได้ปรับปรุงชุดเครื่องมือของตนแล้ว นักวิจัยที่ติดตามคลัสเตอร์นี้ (ติดตามภายในในชื่อ Hive0154) สังเกตเห็นกลุ่มแบ็คดอร์ที่ได้รับการปรับปรุงชื่อ TONESHELL และเวิร์มที่แพร่กระจายผ่าน USB ที่ยังไม่มีการรายงานมาก่อนชื่อ SnakeDisk ผู้ก่อเหตุนี้เคลื่อนไหวมาอย่างน้อยตั้งแต่ปี 2012 และกำลังถูกติดตามภายใต้ชื่ออุตสาหกรรมมากมาย รวมถึง BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus, Twill Typhoon และชื่อติดตาม Hive0154

TONESHELL — ต้นกำเนิดและการใช้งานก่อนหน้า

TONESHELL ปรากฏตัวต่อสาธารณะครั้งแรกในเดือนพฤศจิกายน 2565 หลังจากพบการบุกรุกหลายครั้งระหว่างเดือนพฤษภาคมถึงตุลาคม 2565 ซึ่งส่งผลกระทบต่อเป้าหมายในเมียนมาร์ ออสเตรเลีย ฟิลิปปินส์ ญี่ปุ่น และไต้หวัน ในอดีต ผู้ให้บริการได้เปิดใช้ TONESHELL ผ่านการโหลด DLL ด้านข้าง ซึ่งบทบาทหลักของมัลแวร์ในการปฏิบัติการเหล่านี้คือการดึงและติดตั้งเพย์โหลดที่ตามมาจากเซิร์ฟเวอร์ที่ผู้ให้บริการควบคุม

ห่วงโซ่การโจมตีและครอบครัวที่เกี่ยวข้อง

สเปียร์ฟิชชิ่งยังคงเป็นช่องทางการเข้าถึงเริ่มต้นที่นิยมใช้กัน อีเมลที่กำหนดเป้าหมายจะดรอปโหลดเดอร์ (loader) ซึ่งต่อมาจะเปิดใช้งานกลุ่มอีเมล เช่น PUBLOAD หรือ TONESHELL PUBLOAD มีพฤติกรรมคล้ายกับ TONESHELL และพบว่าดึงเชลล์โค้ดจากโครงสร้างพื้นฐาน C2 โดยใช้คำขอ HTTP POST เมื่อโหลดเดอร์ทำงานแล้ว ขั้นตอนถัดไปจะถูกดึงและดำเนินการเพื่อขยายการเข้าถึงหรือคงอยู่ต่อไป

โทนเชลล์รุ่นต่างๆ

นักวิจัยได้ตั้งชื่อโครงสร้างใหม่ที่พบว่าเป็น TONESHELL8 และ TONESHELL9 การเปลี่ยนแปลงสำคัญมีดังนี้:

• ความสามารถในการกำหนดเส้นทางการรับส่งข้อมูล C2 ผ่านเซิร์ฟเวอร์พร็อกซีที่กำหนดค่าภายในเครื่อง ช่วยให้การรับส่งข้อมูลผสมผสานกับการรับส่งข้อมูลขององค์กรที่ถูกต้องตามกฎหมาย และลดการตรวจจับตามเครือข่าย
• รองรับการรันเชลล์ย้อนกลับสองตัวพร้อมกัน ช่วยให้ผู้ปฏิบัติงานสามารถเข้าถึงโฮสต์ที่ถูกบุกรุกแบบซ้ำซ้อนได้
• ใน TONESHELL8 การรวมโค้ดที่ดูเหมือนไม่เกี่ยวข้องหรือเป็น "ขยะ" ที่นำมาจากหน้าเว็บ ChatGPT ของ OpenAI ฝังไว้ในฟังก์ชันมัลแวร์ ซึ่งเป็นเทคนิคที่น่าจะขัดขวางการวิเคราะห์แบบคงที่และหลบเลี่ยงลายเซ็นที่อาศัยรูปแบบโค้ดที่คาดไว้

ผลกระทบและผลสืบเนื่องในการดำเนินงาน

การพัฒนาเหล่านี้แสดงให้เห็นถึงการเน้นย้ำถึงการซ่อนตัว ความยืดหยุ่น และการกำหนดเป้าหมายที่แม่นยำ การตรวจสอบการดำเนินการทางภูมิศาสตร์ (SnakeDisk) การใช้พร็อกซี และช่องทางโต้ตอบแบบคู่ช่วยเพิ่มความยืดหยุ่นของผู้ปฏิบัติงาน ในขณะเดียวกันก็ทำให้การตรวจจับและการตอบสนองมีความซับซ้อน การแทรกโค้ดจากเว็บที่ไม่เกี่ยวข้องลงในไฟล์ไบนารีบิวด์เป็นขั้นตอนต่อต้านการวิเคราะห์โดยเจตนา ซึ่งอาจทำให้การคัดกรองแบบใช้เครื่องมือลดประสิทธิภาพลง