TONESHELL 後門

一個與中國結盟、可能由政府支持的間諜組織，長期以來一直受到安全人員的追踪，現已升級其工具包。追蹤該集群（內部追蹤編號為 Hive0154）的研究人員發現了一個名為 TONESHELL 的增強型後門家族，以及一個此前未曾報道過的名為 SnakeDisk 的 USB 傳播蠕蟲。該組織至少自 2012 年以來一直活躍，並以多個行業名稱進行追踪，包括 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoon 以及追蹤標籤 Hive0154。

TONESHELL — 起源和先前使用

TONESHELL 首次出現在公開報告中是在 2022 年 11 月，此前該惡意軟體在 2022 年 5 月至 10 月期間觀察到了一系列入侵行為，影響了緬甸、澳大利亞、菲律賓、日本和台灣的目標。從歷史上看，運營商透過 DLL 側載來啟動 TONESHELL；該惡意軟體在這些操作中的主要作用是從運營商控制的伺服器獲取並安裝後續有效載荷。

攻擊鏈及相關家族

魚叉式網路釣魚仍然是首選的初始存取媒介：目標電子郵件會植入載入程序，然後啟動 PUBLOAD 或 TONESHELL 等惡意軟體家族。 PUBLOAD 的行為與 TONESHELL 類似，據觀察，它會使用 HTTP POST 請求從 C2 基礎架構中檢索 Shellcode。載入程式運行後，會取得並執行後續階段，以擴展存取權限或實現持久化。

音殼變體

研究人員將新觀測到的構建體命名為 TONESHELL8 和 TONESHELL9。主要變化包括：

• 能夠透過本地配置的代理伺服器路由 C2 流量，幫助流量與合法企業流量融合併減少基於網路的偵測。
• 支援同時運行兩個反向 shell，為操作員提供對受感染主機的冗餘互動存取。
• 在 TONESHELL8 中，將從 OpenAI 的 ChatGPT 網頁中獲取的看似不相關或「垃圾」程式碼嵌入到惡意軟體功能中——這可能是一種阻礙靜態分析和逃避依賴預期程式碼模式的簽名的技術。

營運影響和意義

這些發展體現了對隱身性、韌性和精準定位的重視。地理執行檢查（SnakeDisk）、代理使用和雙交互通道提高了操作員的靈活性，同時也增加了檢測和回應的複雜性。將不相關的網路原始碼插入二進位建置是一種故意的反分析步驟，可能會削弱基於工具的分類能力。