TONESHELL 后门

一个与中国结盟、可能由政府支持的间谍组织，长期以来一直受到安全人员的追踪，现已升级其工具包。跟踪该集群（内部追踪编号为 Hive0154）的研究人员发现了一个名为 TONESHELL 的增强型后门家族，以及一个此前未曾报道过的名为 SnakeDisk 的 USB 传播蠕虫。该组织至少自 2012 年以来一直活跃，并以多个行业名称进行追踪，包括 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoon 以及追踪标签 Hive0154。

TONESHELL — 起源和先前使用

TONESHELL 首次出现在公开报告中是在 2022 年 11 月，此前该恶意软件在 2022 年 5 月至 10 月期间观察到了一系列入侵行为，影响了缅甸、澳大利亚、菲律宾、日本和台湾的目标。从历史上看，运营商通过 DLL 侧载来启动 TONESHELL；该恶意软件在这些操作中的主要作用是从运营商控制的服务器获取并安装后续有效载荷。

攻击链及相关家族

鱼叉式网络钓鱼仍然是首选的初始访问媒介：目标电子邮件会植入加载程序，然后启动 PUBLOAD 或 TONESHELL 等恶意软件家族。PUBLOAD 的行为与 TONESHELL 类似，据观察，它会使用 HTTP POST 请求从 C2 基础设施中检索 Shellcode。加载程序运行后，会获取并执行后续阶段，以扩展访问权限或实现持久化。

音壳变体

研究人员将新观测到的构建体命名为 TONESHELL8 和 TONESHELL9。主要变化包括：

• 能够通过本地配置的代理服务器路由 C2 流量，帮助流量与合法企业流量融合并减少基于网络的检测。
• 支持同时运行两个反向 shell，为操作员提供对受感染主机的冗余交互式访问。
• 在 TONESHELL8 中，将从 OpenAI 的 ChatGPT 网页中获取的看似不相关或“垃圾”代码嵌入到恶意软件功能中——这可能是一种阻碍静态分析和逃避依赖于预期代码模式的签名的技术。

运营影响和含义

这些发展体现了对隐身性、韧性和精准定位的重视。地理执行检查（SnakeDisk）、代理使用和双交互通道提高了操作员的灵活性，同时也增加了检测和响应的复杂性。将不相关的网络源代码插入二进制构建中是一种故意的反分析步骤，可能会削弱基于工具的分类能力。