TorNet Backdoor
Financijski vođen akter prijetnji orkestrirao je kampanju phishing e-pošte od najmanje srpnja 2024., s posebnim fokusom na korisnike u Poljskoj i Njemačkoj. Ova kampanja dovela je do postavljanja višestrukih prijetnji, uključujući agenta Teslu , Snake Keylogger i novootkrivena stražnja vrata pod nazivom TorNet.
TorNet je svoje ime dobio po svojoj sposobnosti da olakša komunikaciju između napadača i kompromitiranog sustava putem mreže anonimnosti TOR. Kampanja prikazuje napredne tehnike izbjegavanja, dopuštajući napadačima da djeluju potajno dok održavaju stalan pristup zaraženim strojevima.
Sadržaj
Pametne taktike izbjegavanja osiguravaju prikrivene upade
Jedan od ključnih mehanizama postojanosti koje koristi akter prijetnje uključuje raspoređivanje Windows zadataka na žrtvi uređaja, uključujući one koji rade s niskom baterijom. Osim toga, napadači odspajaju ugroženi sustav s mreže prije postavljanja korisnog tereta, tek ga nakon toga ponovno povezuju. Ova taktika pomaže zaobići otkrivanje sigurnosnih rješenja temeljenih na oblaku, smanjujući vjerojatnost rane identifikacije prijetnji.
Varljive phishing e-poruke nose prijeteće sadržaje
Napad započinje pažljivo izrađenim phishing e-porukama koje se predstavljaju kao legitimne financijske institucije ili logističke i proizvodne tvrtke. Ove e-poruke često sadrže lažne potvrde prijenosa novca ili lažne potvrde o narudžbi.
Kako bi dodatno izbjegli otkrivanje, napadači prilažu komprimirane datoteke s ekstenzijom '.tgz'. Ovaj neuobičajen izbor pomaže da datoteke prođu kroz sigurnosne filtere, povećavajući šanse da će ih primatelji otvoriti.
Izvršenje u više faza oslobađa TorNet
Nakon što primatelj izdvoji i otvori priloženu arhivu, izvršava se .NET loader. Ovaj učitavač odgovoran je za dohvaćanje i pokretanje PureCryptera izravno u memoriji, pripremajući pozornicu za daljnji kompromis.
PureCrypter zatim pokreće TorNet backdoor, ali ne prije nego što provede višestruke sigurnosne provjere. To uključuje mjere za uklanjanje pogrešaka, otkrivanje virtualnog stroja i druge tehnike osmišljene za izbjegavanje analiza i alata za sprječavanje prijetnji.
TorNet Backdoor proširuje površinu napada
Nakon uspješne implementacije, TorNet backdoor uspostavlja vezu sa svojim Command-and-Control (C2) poslužiteljem, a također povezuje zaraženi uređaj s TOR mrežom. Ova veza omogućuje akteru prijetnje održavanje komunikacije s kompromitiranim sustavom dok ostaje anoniman.
TorNet je sposoban primati i izvršavati proizvoljne .NET sklopove izravno u memoriji, značajno proširujući površinu napada. Preuzimanjem i pokretanjem dodatnih nesigurnih korisnih opterećenja s C2 poslužitelja, napadači mogu eskalirati svoje aktivnosti, što dovodi do daljnjih upada u sustav i potencijalnih povreda podataka.
TorNet Backdoor video
Savjet: Pretvorite svoj zvuk i gledati video u full screen modu.
