TorNet Backdoor
Ένας παράγοντας απειλών με οικονομικά κίνητρα ενορχηστρώνει μια καμπάνια ηλεκτρονικού "ψαρέματος" τουλάχιστον από τον Ιούλιο του 2024, με ιδιαίτερη έμφαση στους χρήστες στην Πολωνία και τη Γερμανία. Αυτή η καμπάνια οδήγησε στην ανάπτυξη πολλαπλών απειλών, συμπεριλαμβανομένου του Agent Tesla , του Snake Keylogger και μιας νέας κερκόπορτας που ονομάστηκε TorNet.
Το TorNet αντλεί το όνομά του από την ικανότητά του να διευκολύνει την επικοινωνία μεταξύ του εισβολέα και του παραβιασμένου συστήματος μέσω του δικτύου ανωνυμίας TOR. Η καμπάνια παρουσιάζει προηγμένες τεχνικές φοροδιαφυγής, επιτρέποντας στους επιτιθέμενους να λειτουργούν κρυφά, διατηρώντας παράλληλα σταθερή πρόσβαση σε μολυσμένα μηχανήματα.
Πίνακας περιεχομένων
Έξυπνες τακτικές φοροδιαφυγής εξασφαλίζουν μυστικές εισβολές
Ένας από τους βασικούς μηχανισμούς επιμονής που χρησιμοποιεί ο παράγοντας απειλής περιλαμβάνει τον προγραμματισμό εργασιών των Windows σε συσκευές-θύμα, συμπεριλαμβανομένων εκείνων που λειτουργούν με χαμηλή μπαταρία. Επιπλέον, οι εισβολείς αποσυνδέουν το παραβιασμένο σύστημα από το δίκτυο πριν αναπτύξουν το ωφέλιμο φορτίο, συνδέοντάς το μόνο μετά. Αυτή η τακτική βοηθά στην παράκαμψη της ανίχνευσης από λύσεις ασφαλείας που βασίζονται σε cloud, μειώνοντας την πιθανότητα έγκαιρης αναγνώρισης απειλών.
Τα παραπλανητικά μηνύματα ηλεκτρονικού ψαρέματος φέρουν απειλητικά ωφέλιμα φορτία
Η επίθεση ξεκινά με προσεκτικά κατασκευασμένα μηνύματα ηλεκτρονικού ψαρέματος που παρουσιάζονται ως νόμιμα χρηματοπιστωτικά ιδρύματα ή εταιρείες logistics και κατασκευαστικές εταιρείες. Αυτά τα email συχνά περιέχουν πλαστές επιβεβαιώσεις μεταφοράς χρημάτων ή δόλιες αποδείξεις παραγγελιών.
Για να αποφευχθεί περαιτέρω ο εντοπισμός, οι εισβολείς επισυνάπτουν συμπιεσμένα αρχεία με την επέκταση «.tgz». Αυτή η ασυνήθιστη επιλογή βοηθά τα αρχεία να περάσουν από τα φίλτρα ασφαλείας, αυξάνοντας τις πιθανότητες να τα ανοίξουν οι παραλήπτες.
Μια εκτέλεση πολλαπλών σταδίων απελευθερώνει το TorNet
Μόλις ο παραλήπτης εξαγάγει και ανοίξει το συνημμένο αρχείο, εκτελείται ένας φορτωτής .NET. Αυτός ο φορτωτής είναι υπεύθυνος για την ανάκτηση και την εκτέλεση του PureCrypter απευθείας στη μνήμη, θέτοντας τις προϋποθέσεις για περαιτέρω συμβιβασμούς.
Στη συνέχεια, το PureCrypter εκκινεί την κερκόπορτα TorNet, αλλά όχι πριν από τη διεξαγωγή πολλαπλών ελέγχων ασφαλείας. Αυτά περιλαμβάνουν μέτρα κατά του εντοπισμού σφαλμάτων, ανίχνευση εικονικής μηχανής και άλλες τεχνικές που έχουν σχεδιαστεί για την αποφυγή ανάλυσης και εργαλείων κατά των απειλών.
Το TorNet Backdoor επεκτείνει την επιφάνεια επίθεσης
Μετά την επιτυχή ανάπτυξη, η κερκόπορτα TorNet δημιουργεί μια σύνδεση με τον διακομιστή Command-and-Control (C2) ενώ παράλληλα συνδέει τη μολυσμένη συσκευή με το δίκτυο TOR. Αυτή η σύνδεση επιτρέπει στον παράγοντα απειλής να διατηρεί επικοινωνία με το παραβιασμένο σύστημα, ενώ παραμένει ανώνυμος.
Το TorNet είναι σε θέση να λαμβάνει και να εκτελεί αυθαίρετες συγκροτήσεις .NET απευθείας στη μνήμη, διευρύνοντας σημαντικά την επιφάνεια επίθεσης. Με τη λήψη και την εκτέλεση πρόσθετων μη ασφαλών ωφέλιμων φορτίων από τον διακομιστή C2, οι εισβολείς μπορούν να κλιμακώσουν τις δραστηριότητές τους, οδηγώντας σε περαιτέρω εισβολές στο σύστημα και πιθανές παραβιάσεις δεδομένων.
TorNet Backdoor βίντεο
Συμβουλή: Ενεργοποιήστε τον ήχο σας και παρακολουθήστε το βίντεο σε λειτουργία πλήρους οθόνης .
