الباب الخلفي لشبكة TorNet
كان أحد الجهات الفاعلة التي تعمل على التهديد بدافع مالي يدير حملة تصيد عبر البريد الإلكتروني منذ يوليو 2024 على الأقل، مع التركيز بشكل خاص على المستخدمين في بولندا وألمانيا. وقد أدت هذه الحملة إلى نشر تهديدات متعددة، بما في ذلك Agent Tesla و Snake Keylogger وباب خلفي تم تحديده حديثًا يسمى TorNet.
تستمد TorNet اسمها من قدرتها على تسهيل الاتصال بين المهاجم والنظام المخترق عبر شبكة TOR المجهولة. تعرض الحملة تقنيات التهرب المتقدمة، مما يسمح للمهاجمين بالعمل بشكل سري مع الحفاظ على الوصول المستمر إلى الأجهزة المصابة.
جدول المحتويات
تكتيكات التهرب الذكية تضمن عمليات اختراق خفية
تتضمن إحدى آليات الثبات الرئيسية التي يستخدمها مرتكب التهديد جدولة مهام Windows على أجهزة الضحية، بما في ذلك تلك التي تعمل ببطارية ضعيفة. بالإضافة إلى ذلك، يقوم المهاجمون بفصل النظام المخترق عن الشبكة قبل نشر الحمولة، ثم إعادة توصيله بعد ذلك فقط. تساعد هذه التكتيكات في تجاوز الكشف بواسطة حلول الأمان المستندة إلى السحابة، مما يقلل من احتمالية التعرف المبكر على التهديد.
رسائل البريد الإلكتروني الاحتيالية الخادعة تحمل حمولات تهديدية
تبدأ الهجمات برسائل إلكترونية احتيالية مصممة بعناية تنتحل شخصية مؤسسات مالية أو شركات لوجستية وتصنيعية شرعية. وغالبًا ما تحتوي هذه الرسائل الإلكترونية على تأكيدات مزيفة لتحويل الأموال أو إيصالات طلب احتيالية.
لتجنب الكشف بشكل أكبر، يقوم المهاجمون بإرفاق ملفات مضغوطة بامتداد ".tgz". يساعد هذا الخيار غير الشائع الملفات على التسلل عبر مرشحات الأمان، مما يزيد من فرص قيام المستلمين بفتحها.
تنفيذ متعدد المراحل يطلق العنان لشبكة TorNet
بمجرد أن يقوم المستلم باستخراج الأرشيف المرفق وفتحه، يتم تنفيذ برنامج تحميل .NET. هذا البرنامج مسؤول عن جلب وتشغيل PureCrypter مباشرة في الذاكرة، مما يمهد الطريق لمزيد من الاختراق.
ثم يقوم PureCrypter بتشغيل الباب الخلفي لشبكة TorNet، ولكن ليس قبل إجراء عمليات فحص أمنية متعددة. وتشمل هذه العمليات إجراءات مكافحة التصحيح، واكتشاف الآلات الافتراضية، وتقنيات أخرى مصممة للتهرب من أدوات التحليل ومكافحة التهديدات.
توسع TorNet Backdoor مساحة الهجوم
بعد النشر الناجح، يقوم برنامج TorNet backdoor بإنشاء اتصال مع خادم Command-and-Control (C2) الخاص به مع ربط الجهاز المصاب بشبكة TOR. يتيح هذا الاتصال للفاعل المهدد الحفاظ على الاتصال بالنظام المخترق مع الحفاظ على عدم الكشف عن هويته.
تتمتع شبكة TorNet بالقدرة على استقبال وتنفيذ تجميعات .NET عشوائية مباشرة في الذاكرة، مما يؤدي إلى توسيع مساحة الهجوم بشكل كبير. ومن خلال تنزيل وتشغيل حمولات غير آمنة إضافية من خادم C2، يمكن للمهاجمين تصعيد أنشطتهم، مما يؤدي إلى المزيد من عمليات اختراق النظام وانتهاكات البيانات المحتملة.
الباب الخلفي لشبكة TorNet فيديو
نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة.
