דלת אחורית של TorNet

שחקן איומים מונע כלכלית מתכנן קמפיין דיוג בדוא"ל מאז יולי 2024 לפחות, עם התמקדות מיוחדת במשתמשים בפולין ובגרמניה. מסע פרסום זה הוביל לפריסה של איומים מרובים, כולל הסוכן טסלה , ה- Snake Keylogger ודלת אחורית שזוהתה לאחרונה בשם TorNet.

TorNet שואב את שמה מהיכולת שלה להקל על התקשורת בין התוקף למערכת שנפרצה באמצעות רשת האנונימיות של TOR. הקמפיין מציג טכניקות התחמקות מתקדמות, המאפשרות לתוקפים לפעול בחשאי תוך שמירה על גישה מתמשכת למכונות נגועות.

טקטיקות התחמקות נבונות מבטיחות חדירות חמקנית

אחד ממנגנוני ההתמדה העיקריים שבהם משתמש שחקן האיום כולל תזמון משימות Windows במכשירי הקורבן, כולל אלה הפועלים על סוללה חלשה. בנוסף, התוקפים מנתקים את המערכת שנפרצה מהרשת לפני פריסת המטען, ורק לאחר מכן מחברים אותו מחדש. טקטיקה זו מסייעת לעקוף זיהוי על ידי פתרונות אבטחה מבוססי ענן, ומפחיתה את הסבירות לזיהוי מוקדם של איומים.

דוא”ל דיוג מטעה נושאים עומסים מאיימים

המתקפה מתחילה במיילים דיוגים מעוצבים בקפידה שמתחזות למוסדות פיננסיים לגיטימיים או לחברות לוגיסטיקה וייצור. הודעות דוא"ל אלה מכילות לרוב אישורי העברת כספים מזויפים או קבלות הזמנה מזויפות.

כדי להימנע מגילוי נוסף, התוקפים מצרפים קבצים דחוסים עם סיומת '.tgz'. בחירה לא שכיחה זו עוזרת לקבצים לחמוק מעבר למסנני אבטחה, ומגדילה את הסיכוי שהנמענים יפתחו אותם.

ביצוע רב-שלבי משחרר את TorNet

לאחר שהנמען מחלץ ופותח את הארכיון המצורף, מטעין .NET מופעל. מטעין זה אחראי לאחזור ולהריץ את PureCrypter ישירות בזיכרון, מה שמכין את הבמה לפשרה נוספת.

PureCrypter משיק את הדלת האחורית של TorNet, אך לא לפני ביצוע בדיקות אבטחה מרובות. אלה כוללים אמצעים נגד איתור באגים, זיהוי מכונות וירטואליות וטכניקות אחרות שנועדו להתחמק מכלי ניתוח וכלים נגד איומים.

הדלת האחורית של TorNet מרחיבה את משטח ההתקפה

לאחר פריסה מוצלחת, הדלת האחורית של TorNet מייצרת חיבור עם שרת ה-Command-and-Control (C2) שלו תוך כדי קישור ההתקן הנגוע לרשת TOR. חיבור זה מאפשר לשחקן האיום לשמור על תקשורת עם המערכת שנפרצה תוך שמירה על אנונימיות.

TorNet מסוגלת לקבל ולהפעיל אסיפות .NET שרירותיות ישירות בזיכרון, ולהרחיב משמעותית את משטח ההתקפה. על ידי הורדה והרצה של מטענים לא בטוחים נוספים משרת C2, התוקפים יכולים להסלים את פעילותם, מה שיוביל לפריצות נוספות למערכת ולפריצות נתונים אפשריות.

דלת אחורית של TorNet וידאו

טיפ: הפעל הקול שלך ON ולצפות בסרטון במצב של מסך מלא.