TorNet Backdoor
Финансово обусловен актьор от заплаха организира фишинг имейл кампания поне от юли 2024 г., със специален фокус върху потребителите в Полша и Германия. Тази кампания доведе до внедряването на множество заплахи, включително Agent Tesla , Snake Keylogger и наскоро идентифицирана задна врата, наречена TorNet.
TorNet получава името си от способността си да улеснява комуникацията между нападателя и компрометираната система чрез мрежата за анонимност TOR. Кампанията демонстрира усъвършенствани техники за избягване, позволяващи на нападателите да действат скрито, като същевременно поддържат постоянен достъп до заразените машини.
Съдържание
Умни тактики за укриване гарантират скрити прониквания
Един от ключовите механизми за устойчивост, използвани от заплахата, включва планиране на задачи на Windows на жертвени устройства, включително тези, работещи с изтощена батерия. Освен това нападателите изключват компрометираната система от мрежата, преди да разположат полезния товар, като го свързват отново след това. Тази тактика помага за заобикаляне на откриването от базирани на облак решения за сигурност, намалявайки вероятността от ранно идентифициране на заплаха.
Измамни фишинг имейли носят заплашителни полезни товари
Атаката започва с внимателно изработени фишинг имейли, които се представят за законни финансови институции или логистични и производствени компании. Тези имейли често съдържат фалшиви потвърждения за парични преводи или измамни разписки за поръчки.
За да избегнат по-нататъшно откриване, нападателите прикачват компресирани файлове с разширение „.tgz“. Този необичаен избор помага на файловете да преминат през защитните филтри, увеличавайки шансовете получателите да ги отворят.
Многоетапно изпълнение отприщва TorNet
След като получателят извлече и отвори прикачения архив, се изпълнява .NET loader. Този товарач е отговорен за извличането и стартирането на PureCrypter директно в паметта, подготвяйки сцената за по-нататъшен компромис.
След това PureCrypter стартира TorNet backdoor, но не преди да извърши множество проверки за сигурност. Те включват мерки за отстраняване на грешки, откриване на виртуална машина и други техники, предназначени да избегнат анализи и инструменти за борба с заплахи.
Задната врата на TorNet разширява полето за атака
След успешно внедряване, задната врата на TorNet установява връзка със своя сървър за командване и управление (C2), като същевременно свързва заразеното устройство с мрежата TOR. Тази връзка позволява на заплахата да поддържа комуникация с компрометираната система, като същевременно остава анонимен.
TorNet е в състояние да получава и изпълнява произволни .NET сборки директно в паметта, като значително разширява повърхността на атаката. Чрез изтегляне и стартиране на допълнителни опасни полезни товари от C2 сървъра, нападателите могат да ескалират своите дейности, което води до допълнителни прониквания в системата и потенциални нарушения на данните.
TorNet Backdoor видео
Съвет: Вклучите звука игледайте видеото в режим на цял екран.
