TorNet Backdoor
Un attore di minacce motivato da interessi finanziari ha orchestrato una campagna di phishing via e-mail almeno da luglio 2024, con particolare attenzione agli utenti in Polonia e Germania. Questa campagna ha portato all'implementazione di molteplici minacce, tra cui Agent Tesla , Snake Keylogger e una backdoor di nuova identificazione denominata TorNet.
TorNet deve il suo nome alla sua capacità di facilitare la comunicazione tra l'attaccante e il sistema compromesso tramite la rete di anonimato TOR. La campagna mostra tecniche di evasione avanzate, che consentono agli aggressori di operare furtivamente mantenendo un accesso persistente alle macchine infette.
Sommario
Le tattiche di evasione intelligenti assicurano intrusioni furtive
Uno dei meccanismi di persistenza chiave utilizzati dall'attore della minaccia comporta la pianificazione di attività Windows sui dispositivi delle vittime, compresi quelli con batteria scarica. Inoltre, gli aggressori disconnettono il sistema compromesso dalla rete prima di distribuire il payload, ricollegandolo solo in seguito. Questa tattica aiuta a bypassare il rilevamento da parte di soluzioni di sicurezza basate su cloud, riducendo la probabilità di un'identificazione precoce della minaccia.
Le e-mail di phishing ingannevoli contengono minacce
L'attacco inizia con email di phishing attentamente elaborate che si spacciano per istituti finanziari legittimi o aziende di logistica e produzione. Queste email contengono spesso false conferme di trasferimento di denaro o ricevute di ordini fraudolente.
Per evitare ulteriormente il rilevamento, gli aggressori allegano file compressi con l'estensione '.tgz'. Questa scelta non comune aiuta i file a superare i filtri di sicurezza, aumentando le possibilità che i destinatari li aprano.
Un’esecuzione multi-fase scatena TorNet
Una volta che il destinatario estrae e apre l'archivio allegato, viene eseguito un loader .NET. Questo loader è responsabile del recupero e dell'esecuzione di PureCrypter direttamente in memoria, preparando il terreno per un ulteriore compromesso.
PureCrypter lancia quindi la backdoor TorNet, ma non prima di aver eseguito più controlli di sicurezza. Questi includono misure anti-debug, rilevamento di macchine virtuali e altre tecniche progettate per eludere gli strumenti di analisi e anti-minaccia.
La backdoor TorNet espande la superficie di attacco
Dopo l'implementazione con successo, la backdoor TorNet stabilisce una connessione con il suo server Command-and-Control (C2) e collega anche il dispositivo infetto alla rete TOR. Questa connessione consente all'attore della minaccia di mantenere la comunicazione con il sistema compromesso rimanendo anonimo.
TorNet è in grado di ricevere ed eseguire assembly .NET arbitrari direttamente in memoria, ampliando notevolmente la superficie di attacco. Scaricando ed eseguendo payload non sicuri aggiuntivi dal server C2, gli aggressori possono intensificare le loro attività, portando a ulteriori intrusioni di sistema e potenziali violazioni dei dati.
TorNet Backdoor Video
Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .
