TorNet bagdør
En økonomisk drevet trusselsaktør har orkestreret en phishing-e-mail-kampagne siden mindst juli 2024 med særligt fokus på brugere i Polen og Tyskland. Denne kampagne har ført til udrulning af flere trusler, inklusive Agent Tesla , Snake Keylogger og en nyligt identificeret bagdør ved navn TorNet.
TorNet får sit navn fra dets evne til at lette kommunikationen mellem angriberen og det kompromitterede system via TOR-anonymitetsnetværket. Kampagnen fremviser avancerede unddragelsesteknikker, der gør det muligt for angriberne at operere snigende, mens de opretholder vedvarende adgang til inficerede maskiner.
Indholdsfortegnelse
Smart undvigelsestaktik sikrer snigende indtrængen
En af de vigtigste vedholdenhedsmekanismer, der bruges af trusselsaktøren, involverer planlægning af Windows-opgaver på ofrets enheder, inklusive dem, der kører på lavt batteri. Derudover afbryder angriberne det kompromitterede system fra netværket, før de implementerer nyttelasten, og forbinder det først igen bagefter. Denne taktik hjælper med at omgå registrering af cloud-baserede sikkerhedsløsninger, hvilket reducerer sandsynligheden for tidlig trusselsidentifikation.
Vildledende phishing-e-mails har truende nyttelast
Angrebet begynder med omhyggeligt udformede phishing-e-mails, der optræder som legitime finansielle institutioner eller logistik- og produktionsvirksomheder. Disse e-mails indeholder ofte falske pengeoverførselsbekræftelser eller falske ordrekvitteringer.
For yderligere at undgå opdagelse vedhæfter angriberne komprimerede filer med filtypenavnet '.tgz'. Dette ualmindelige valg hjælper filerne med at glide forbi sikkerhedsfiltre, hvilket øger chancerne for, at modtagerne åbner dem.
En flertrinsudførelse frigiver TorNet
Når modtageren udpakker og åbner det vedhæftede arkiv, udføres en .NET-indlæser. Denne loader er ansvarlig for at hente og køre PureCrypter direkte i hukommelsen, hvilket sætter scenen for yderligere kompromis.
PureCrypter starter derefter TorNet-bagdøren, men ikke før der udføres flere sikkerhedstjek. Disse omfatter anti-fejlretningsforanstaltninger, registrering af virtuel maskine og andre teknikker designet til at omgå analyse- og anti-trusselsværktøjer.
TorNet-bagdøren udvider angrebsoverfladen
Efter vellykket implementering etablerer TorNet-bagdøren en forbindelse med dens Command-and-Control-server (C2), mens den også forbinder den inficerede enhed til TOR-netværket. Denne forbindelse gør det muligt for trusselsaktøren at opretholde kommunikationen med det kompromitterede system, mens han forbliver anonym.
TorNet er i stand til at modtage og udføre vilkårlige .NET-samlinger direkte i hukommelsen, hvilket udvider angrebsfladen betydeligt. Ved at downloade og køre yderligere usikre nyttelaster fra C2-serveren kan angriberne eskalere deres aktiviteter, hvilket fører til yderligere systemindtrængen og potentielle databrud.
TorNet bagdør Video
Tip: Gør din lyd ON og se videoen i fuldskærmstilstand.
