TorNet Backdoor
वित्तीय रूप से संचालित एक खतरा अभिनेता कम से कम जुलाई 2024 से फ़िशिंग ईमेल अभियान की योजना बना रहा है, जिसमें पोलैंड और जर्मनी के उपयोगकर्ताओं पर विशेष ध्यान दिया गया है। इस अभियान के कारण कई खतरों की तैनाती हुई है, जिसमें एजेंट टेस्ला , स्नेक कीलॉगर और टोरनेट नामक एक नया पहचाना गया बैकडोर शामिल है।
टोरनेट का नाम TOR गुमनामी नेटवर्क के माध्यम से हमलावर और समझौता किए गए सिस्टम के बीच संचार को सुविधाजनक बनाने की इसकी क्षमता से लिया गया है। यह अभियान उन्नत बचाव तकनीकों को प्रदर्शित करता है, जिससे हमलावरों को संक्रमित मशीनों तक लगातार पहुँच बनाए रखते हुए चुपके से काम करने की अनुमति मिलती है।
विषयसूची
चतुराईपूर्ण बचाव रणनीति से गुप्त घुसपैठ सुनिश्चित होती है
ख़तरा पैदा करने वाले द्वारा इस्तेमाल किए जाने वाले मुख्य दृढ़ता तंत्रों में से एक पीड़ित डिवाइस पर विंडोज कार्यों को शेड्यूल करना शामिल है, जिसमें कम बैटरी पर चलने वाले डिवाइस भी शामिल हैं। इसके अतिरिक्त, हमलावर पेलोड को तैनात करने से पहले समझौता किए गए सिस्टम को नेटवर्क से डिस्कनेक्ट कर देते हैं, उसके बाद ही इसे फिर से कनेक्ट करते हैं। यह रणनीति क्लाउड-आधारित सुरक्षा समाधानों द्वारा पता लगाने से बचने में मदद करती है, जिससे खतरे की शुरुआती पहचान की संभावना कम हो जाती है।
भ्रामक फ़िशिंग ईमेल में धमकी भरे पेलोड होते हैं
यह हमला सावधानीपूर्वक तैयार किए गए फ़िशिंग ईमेल से शुरू होता है जो वैध वित्तीय संस्थानों या लॉजिस्टिक्स और विनिर्माण कंपनियों के रूप में प्रस्तुत होते हैं। इन ईमेल में अक्सर नकली मनी ट्रांसफर पुष्टिकरण या धोखाधड़ी वाले ऑर्डर रसीदें होती हैं।
पता लगाने से बचने के लिए हमलावर संपीड़ित फ़ाइलों को '.tgz' एक्सटेंशन के साथ संलग्न करते हैं। यह असामान्य विकल्प फ़ाइलों को सुरक्षा फ़िल्टर से बचने में मदद करता है, जिससे प्राप्तकर्ता द्वारा उन्हें खोलने की संभावना बढ़ जाती है।
एक बहु-चरणीय निष्पादन TorNet को मुक्त करता है
एक बार जब प्राप्तकर्ता संलग्न संग्रह को निकालता है और खोलता है, तो एक .NET लोडर निष्पादित होता है। यह लोडर सीधे मेमोरी में PureCrypter को लाने और चलाने के लिए जिम्मेदार है, जो आगे के समझौते के लिए मंच तैयार करता है।
इसके बाद PureCrypter TorNet बैकडोर लॉन्च करता है, लेकिन कई सुरक्षा जांच करने से पहले नहीं। इनमें एंटी-डिबगिंग उपाय, वर्चुअल मशीन डिटेक्शन और विश्लेषण और एंटी-थ्रेट टूल से बचने के लिए डिज़ाइन की गई अन्य तकनीकें शामिल हैं।
टोरनेट बैकडोर हमले की सतह का विस्तार करता है
सफलतापूर्वक तैनात होने के बाद, TorNet बैकडोर अपने कमांड-एंड-कंट्रोल (C2) सर्वर के साथ एक कनेक्शन स्थापित करता है, साथ ही संक्रमित डिवाइस को TOR नेटवर्क से भी जोड़ता है। यह कनेक्शन खतरे वाले अभिनेता को गुमनाम रहते हुए समझौता किए गए सिस्टम के साथ संचार बनाए रखने की अनुमति देता है।
TorNet सीधे मेमोरी में मनमाने .NET असेंबली प्राप्त करने और निष्पादित करने में सक्षम है, जिससे हमले की सतह काफ़ी हद तक बढ़ जाती है। C2 सर्वर से अतिरिक्त असुरक्षित पेलोड डाउनलोड करके और चलाकर, हमलावर अपनी गतिविधियों को बढ़ा सकते हैं, जिससे सिस्टम में और घुसपैठ और संभावित डेटा उल्लंघन हो सकते हैं।
TorNet Backdoor वीडियो
युक्ति: अपनी ध्वनि चालू करें और वीडियो को पूर्ण स्क्रीन मोड में देखें ।
