TorNet Backdoor
Un actor d'amenaces impulsat econòmicament ha estat orquestrant una campanya de correu electrònic de pesca des d'almenys el juliol de 2024, amb un enfocament particular als usuaris de Polònia i Alemanya. Aquesta campanya ha provocat el desplegament de múltiples amenaces, com ara l' Agent Tesla , el Keylogger Snake i una porta posterior identificada recentment anomenada TorNet.
TorNet deriva el seu nom de la seva capacitat per facilitar la comunicació entre l'atacant i el sistema compromès mitjançant la xarxa d'anonimat TOR. La campanya mostra tècniques d'evasió avançades, que permeten als atacants operar sigil·losament mentre mantenen l'accés persistent a les màquines infectades.
Taula de continguts
Les tàctiques d’evasió intel·ligents asseguren intrusions furtives
Un dels mecanismes de persistència clau utilitzats per l'actor de l'amenaça consisteix a programar tasques de Windows als dispositius víctimes, inclosos els que funcionen amb bateria baixa. A més, els atacants desconnecten el sistema compromès de la xarxa abans de desplegar la càrrega útil i només la tornen a connectar després. Aquesta tàctica ajuda a evitar la detecció mitjançant solucions de seguretat basades en núvol, reduint la probabilitat d'identificació primerenca de les amenaces.
Els correus electrònics de pesca enganyós porten càrregues útils amenaçadores
L'atac comença amb correus electrònics de pesca acuradament elaborats que es posen com a institucions financeres legítimes o empreses de logística i fabricació. Aquests correus electrònics sovint contenen confirmacions falses de transferència de diners o rebuts de comandes fraudulents.
Per evitar encara més la detecció, els atacants adjunten fitxers comprimits amb l'extensió '.tgz'. Aquesta opció poc comuna ajuda els fitxers a passar pels filtres de seguretat, augmentant les possibilitats que els destinataris els obrin.
Una execució en diverses etapes allibera TorNet
Un cop el destinatari extreu i obre l'arxiu adjunt, s'executa un carregador .NET. Aquest carregador és responsable d'obtenir i executar PureCrypter directament a la memòria, preparant l'escenari per a més compromís.
A continuació, PureCrypter llança la porta del darrere de TorNet, però no abans de realitzar diverses comprovacions de seguretat. Aquestes inclouen mesures antidepuració, detecció de màquines virtuals i altres tècniques dissenyades per eludir les eines d'anàlisi i antiamenaça.
La porta posterior TorNet amplia la superfície d’atac
Després de desplegar-se amb èxit, la porta del darrere de TorNet estableix una connexió amb el seu servidor de comandament i control (C2) alhora que enllaça el dispositiu infectat a la xarxa TOR. Aquesta connexió permet a l'actor de l'amenaça mantenir la comunicació amb el sistema compromès mentre es manté anònim.
TorNet és capaç de rebre i executar conjunts .NET arbitraris directament a la memòria, ampliant significativament la superfície d'atac. En baixar i executar càrregues útils insegures addicionals del servidor C2, els atacants poden augmentar les seves activitats, donant lloc a més intrusions al sistema i possibles violacions de dades.
TorNet Backdoor Vídeo
Consell: activa el so i mira el vídeo en mode de pantalla completa .
