TorNet hátsó ajtó

Mezo -ra Malware, Hátsó ajtók, trójaiak-ben

Fordítás ide:

Egy pénzügyileg vezérelt fenyegetettség szereplője legalább 2024 júliusa óta adathalász e-mail kampányt szervez, különös tekintettel a lengyelországi és németországi felhasználókra. Ez a kampány több fenyegetés telepítéséhez vezetett, beleértve az Agent Tesla-t , a Snake Keyloggert és az újonnan azonosított TorNet nevű hátsó ajtót.

A TorNet nevét onnan kapta, hogy megkönnyíti a kommunikációt a támadó és a feltört rendszer között a TOR anonimitási hálózatán keresztül. A kampány olyan fejlett kijátszási technikákat mutat be, amelyek lehetővé teszik a támadók számára, hogy lopakodva működjenek, miközben folyamatosan hozzáférhetnek a fertőzött gépekhez.

Tartalomjegyzék

Okos kijátszási taktikák biztosítják a lopakodó behatolást

A fenyegetettség szereplője által használt egyik kulcsfontosságú kitartási mechanizmus magában foglalja a Windows-feladatok ütemezését az áldozat eszközökön, beleértve azokat is, amelyek alacsony akkumulátorral működnek. Ezenkívül a támadók a hasznos terhelés telepítése előtt leválasztják a feltört rendszert a hálózatról, és csak ezután csatlakoznak újra. Ez a taktika segít megkerülni a felhőalapú biztonsági megoldások észlelését, csökkentve a fenyegetés korai azonosításának valószínűségét.

A megtévesztő adathalász e-mailek fenyegető rakományt hordoznak

A támadás gondosan kidolgozott adathalász e-mailekkel kezdődik, amelyek legitim pénzintézeteknek vagy logisztikai és gyártócégeknek adják ki magukat. Ezek az e-mailek gyakran hamis pénzátutalási visszaigazolásokat vagy csaló rendelési nyugtákat tartalmaznak.

Az észlelés további elkerülése érdekében a támadók ".tgz" kiterjesztésű tömörített fájlokat csatolnak. Ez a szokatlan választás segít a fájlok átcsúszni a biztonsági szűrőkön, növelve annak esélyét, hogy a címzettek megnyitják azokat.

A többlépcsős végrehajtás felszabadítja a TorNetet

Miután a címzett kibontotta és megnyitja a csatolt archívumot, a rendszer végrehajt egy .NET-betöltőt. Ez a betöltő felelős a PureCrypter közvetlenül a memóriában történő lekéréséért és futtatásáért, így előkészítve a terepet a további kompromisszumokhoz.

A PureCrypter ezután elindítja a TorNet hátsó ajtót, de nem többszöri biztonsági ellenőrzés elvégzése előtt. Ide tartoznak a hibakeresés elleni intézkedések, a virtuális gépek észlelése és más olyan technikák, amelyek célja az elemzés és a fenyegetés elleni eszközök elkerülése.

A TorNet hátsó ajtó kiterjeszti a támadási felületet

A sikeres üzembe helyezés után a TorNet hátsó ajtó kapcsolatot létesít a Command-and-Control (C2) szerverével, miközben a fertőzött eszközt a TOR hálózattal is összekapcsolja. Ez a kapcsolat lehetővé teszi a fenyegetettség szereplőjének, hogy névtelenül kommunikáljon a feltört rendszerrel.

A TorNet képes tetszőleges .NET-összeállítások fogadására és végrehajtására közvetlenül a memóriában, jelentősen kibővítve a támadási felületet. A C2 szerverről további nem biztonságos rakományok letöltésével és futtatásával a támadók fokozhatják tevékenységeiket, ami további rendszerbehatolásokhoz és potenciális adatszivárgáshoz vezethet.