TorNeti tagauks
Rahaliselt ajendatud ohustaja on korraldanud andmepüügi e-posti kampaaniat vähemalt 2024. aasta juulist, keskendudes eelkõige kasutajatele Poolas ja Saksamaal. See kampaania on toonud kaasa mitme ohu kasutuselevõtu, sealhulgas agent Tesla , Snake Keylogger ja äsja tuvastatud tagauks nimega TorNet.
TorNeti nimi tuleneb selle võimest hõlbustada suhtlemist ründaja ja ohustatud süsteemi vahel TOR-i anonüümsusvõrgu kaudu. Kampaania tutvustab täiustatud kõrvalehoidmise tehnikaid, mis võimaldavad ründajatel vargsi tegutseda, säilitades samas püsiva juurdepääsu nakatunud masinatele.
Sisukord
Nutikas kõrvalehoidmistaktika tagab salajase sissetungi
Üks peamisi ohutegija kasutatavaid püsivusmehhanisme hõlmab Windowsi toimingute ajastamist ohvriseadmetes, sealhulgas nendes, mis töötavad tühja akuga. Lisaks ühendavad ründajad enne kasuliku koormuse juurutamist ohustatud süsteemi võrgust lahti, ühendades selle alles pärast seda. See taktika aitab pilvepõhiste turvalahenduste tuvastamisest mööda minna, vähendades varajase ohu tuvastamise tõenäosust.
Petlikud andmepüügimeilid kannavad endas ähvardavat koormat
Rünnak algab hoolikalt koostatud andmepüügimeilidega, mis kujutavad endast seaduslikke finantseerimisasutusi või logistika- ja tootmisettevõtteid. Need meilid sisaldavad sageli võltsitud rahaülekande kinnitusi või võltsitud tellimuse kviitungeid.
Tuvastamise edasiseks vältimiseks lisavad ründajad tihendatud failid laiendiga ".tgz". See ebatavaline valik aitab failidel turvafiltritest mööda libiseda, suurendades tõenäosust, et adressaadid need avavad.
Mitmeastmeline täitmine vallandab TorNeti
Kui adressaat manustatud arhiivi ekstraktib ja avab, käivitatakse .NET-laadur. See laadija vastutab PureCrypteri otse mällu toomise ja käitamise eest, luues aluse edasisteks kompromissideks.
Seejärel käivitab PureCrypter TorNeti tagaukse, kuid mitte enne mitme turvakontrolli läbiviimist. Nende hulka kuuluvad silumisvastased meetmed, virtuaalmasina tuvastamine ja muud analüüsi- ja ohutõrjevahenditest kõrvalehoidmiseks mõeldud meetodid.
TorNeti tagauks laiendab ründepinda
Pärast edukat juurutamist loob TorNeti tagauks ühenduse oma Command-and-Control (C2) serveriga, ühendades samal ajal nakatunud seadme TOR-võrguga. See ühendus võimaldab ohus osalejal säilitada sidet ohustatud süsteemiga, jäädes samas anonüümseks.
TorNet on võimeline vastu võtma ja täitma suvalisi .NET-kooste otse mällu, laiendades oluliselt rünnakupinda. Laadides alla ja käivitades C2-serverist täiendavaid ohtlikke koormusi, võivad ründajad oma tegevusi eskaleerida, mis toob kaasa täiendavaid süsteemi sissetungeid ja võimalikke andmetega seotud rikkumisi.
TorNeti tagauks Video
Näpunäide. Lülitage heli sisse ja vaadake videot täisekraanirežiimis .
