TorNet takaovi
Taloudellisesti ohjattu uhkatoimija on järjestänyt tietojenkalastelukampanjaa ainakin heinäkuusta 2024 lähtien, ja se on keskittynyt erityisesti Puolan ja Saksan käyttäjiin. Tämä kampanja on johtanut useiden uhkien käyttöönottoon, mukaan lukien Agent Tesla , Snake Keylogger ja äskettäin tunnistettu TorNet-niminen takaovi.
TorNet on saanut nimensä sen kyvystä helpottaa kommunikointia hyökkääjän ja vaarantuneen järjestelmän välillä TOR-nimettömän verkon kautta. Kampanja esittelee kehittyneitä evaasiotekniikoita, joiden avulla hyökkääjät voivat toimia salaa ja säilyttää jatkuvan pääsyn tartunnan saaneisiin koneisiin.
Sisällysluettelo
Älykkäät väistötaktiikat takaavat salaperäiset tunkeutumiset
Yksi uhkatekijän käyttämistä keskeisistä pysyvyysmekanismeista on Windows-tehtävien ajoittaminen uhrilaitteille, mukaan lukien ne, jotka toimivat alhaisella akulla. Lisäksi hyökkääjät irrottavat vaarantuneen järjestelmän verkosta ennen hyötykuorman käyttöönottoa ja yhdistävät sen uudelleen vasta myöhemmin. Tämä taktiikka auttaa ohittamaan pilvipohjaisten tietoturvaratkaisujen havaitsemisen, mikä vähentää varhaisen uhkien tunnistamisen todennäköisyyttä.
Petolliset tietojenkalasteluviestit kantavat uhkaavia hyötykuormia
Hyökkäys alkaa huolellisesti valmistetuilla phishing-sähköpostiviesteillä, jotka näyttävät olevan laillisia rahoituslaitoksia tai logistiikka- ja valmistusyrityksiä. Nämä sähköpostit sisältävät usein väärennettyjä rahansiirtovahvistuksia tai vilpillisiä tilauskuitteja.
Tunnistuksen välttämiseksi hyökkääjät liittävät pakattuja tiedostoja .tgz-tunnisteella. Tämä harvinainen valinta auttaa tiedostoja liukumaan suojaussuodattimien ohi, mikä lisää mahdollisuuksia, että vastaanottajat avaavat ne.
Monivaiheinen suoritus vapauttaa TorNetin
Kun vastaanottaja purkaa ja avaa liitetyn arkiston, .NET-lataaja suoritetaan. Tämä latausohjelma on vastuussa PureCrypterin hakemisesta ja suorittamisesta suoraan muistissa, mikä mahdollistaa lisäkompromissin.
PureCrypter käynnistää sitten TorNet-takaoven, mutta ei ennen useiden turvatarkastusten suorittamista. Näitä ovat virheenkorjauksen estotoimenpiteet, virtuaalikoneen havaitseminen ja muut tekniikat, jotka on suunniteltu välttämään analyysi- ja uhantorjuntatyökaluja.
TorNet-takaovi laajentaa hyökkäyspintaa
Onnistuneen käyttöönoton jälkeen TorNet-takaovi muodostaa yhteyden Command-and-Control (C2) -palvelimeensa ja yhdistää samalla tartunnan saaneen laitteen TOR-verkkoon. Tämän yhteyden avulla uhkatekijä voi ylläpitää yhteyttä vaarantuneen järjestelmän kanssa samalla, kun hän pysyy nimettömänä.
TorNet pystyy vastaanottamaan ja suorittamaan mielivaltaisia .NET-kokoonpanoja suoraan muistiin, mikä laajentaa merkittävästi hyökkäyspintaa. Lataamalla ja suorittamalla lisää vaarallisia hyötykuormia C2-palvelimelta, hyökkääjät voivat eskaloida toimintaansa, mikä johtaa uusiin järjestelmän tunkeutumiseen ja mahdollisiin tietomurtoihin.
TorNet takaovi Video
Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .
