TorNet Backdoor

یک بازیگر تهدید کننده مالی حداقل از ژوئیه 2024 یک کمپین ایمیل فیشینگ را با تمرکز ویژه روی کاربران در لهستان و آلمان سازماندهی کرده است. این کمپین منجر به استقرار چندین تهدید از جمله Agent Tesla ، Snake Keylogger و یک درب پشتی تازه شناسایی شده به نام TorNet شده است.

TorNet نام خود را از توانایی خود در تسهیل ارتباط بین مهاجم و سیستم در معرض خطر از طریق شبکه ناشناس TOR گرفته است. این کمپین تکنیک‌های پیشرفته فرار را به نمایش می‌گذارد و به مهاجمان اجازه می‌دهد تا مخفیانه عمل کنند و در عین حال دسترسی دائمی به ماشین‌های آلوده را حفظ کنند.

تاکتیک‌های فرار هوشمندانه، نفوذهای مخفیانه را تضمین می‌کنند

یکی از مکانیسم‌های پایداری کلیدی که توسط عامل تهدید استفاده می‌شود، برنامه‌ریزی وظایف ویندوز در دستگاه‌های قربانی، از جمله مواردی که با باتری کم کار می‌کنند، است. علاوه بر این، مهاجمان قبل از استقرار محموله، سیستم آسیب‌دیده را از شبکه جدا می‌کنند و تنها پس از آن دوباره آن را وصل می‌کنند. این تاکتیک به دور زدن تشخیص توسط راه حل های امنیتی مبتنی بر ابر کمک می کند و احتمال شناسایی زودهنگام تهدید را کاهش می دهد.

ایمیل‌های فیشینگ فریبنده بارهای خطرناکی را حمل می‌کنند

این حمله با ایمیل‌های فیشینگ با دقت ساخته شده آغاز می‌شود که به عنوان مؤسسات مالی قانونی یا شرکت‌های لجستیکی و تولیدی ظاهر می‌شوند. این ایمیل‌ها اغلب حاوی تأییدیه‌های انتقال پول جعلی یا رسیدهای تقلبی هستند.

برای جلوگیری از شناسایی بیشتر، مهاجمان فایل های فشرده شده با پسوند '.tgz' را پیوست می کنند. این انتخاب غیر معمول به فایل‌ها کمک می‌کند از فیلترهای امنیتی عبور کنند و احتمال باز کردن آنها توسط گیرندگان افزایش یابد.

اجرای چند مرحله ای تورنت را آزاد می کند

هنگامی که گیرنده بایگانی پیوست شده را استخراج و باز می کند، یک لودر NET اجرا می شود. این لودر وظیفه واکشی و اجرای مستقیم PureCrypter در حافظه را بر عهده دارد و زمینه را برای سازش بیشتر فراهم می کند.

سپس PureCrypter در پشتی TorNet را راه اندازی می کند، اما نه قبل از انجام چندین بررسی امنیتی. اینها شامل اقدامات ضد اشکال زدایی، تشخیص ماشین مجازی و سایر تکنیک هایی است که برای فرار از تجزیه و تحلیل و ابزارهای ضد تهدید طراحی شده اند.

TorNet Backdoor سطح حمله را گسترش می دهد

پس از استقرار موفقیت آمیز، درپشتی TorNet با سرور Command-and-Control (C2) خود ارتباط برقرار می کند و در عین حال دستگاه آلوده را به شبکه TOR متصل می کند. این اتصال به عامل تهدید اجازه می دهد تا در عین ناشناس ماندن، ارتباط خود را با سیستم در معرض خطر حفظ کند.

TorNet قادر است مجموعه های دلخواه دات نت را مستقیماً در حافظه دریافت و اجرا کند و سطح حمله را به میزان قابل توجهی گسترش دهد. با دانلود و اجرای بارهای ناامن اضافی از سرور C2، مهاجمان می توانند فعالیت های خود را افزایش دهند و منجر به نفوذ بیشتر سیستم و نقض احتمالی داده ها شود.

TorNet Backdoor ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .