TorNet Backdoor

តួអង្គគំរាមកំហែងផ្នែកហិរញ្ញវត្ថុបាននិងកំពុងរៀបចំយុទ្ធនាការអ៊ីម៉ែលបន្លំចាប់តាំងពីខែកក្កដាឆ្នាំ 2024 ដោយផ្តោតលើអ្នកប្រើប្រាស់នៅក្នុងប្រទេសប៉ូឡូញ និងអាល្លឺម៉ង់។ យុទ្ធនាការនេះបាននាំឱ្យមានការដាក់ពង្រាយការគំរាមកំហែងជាច្រើនរួមទាំង ភ្នាក់ងារ Tesla , Snake Keylogger និង backdoor ដែលទើបកំណត់អត្តសញ្ញាណថ្មីដែលមានឈ្មោះថា TorNet ។

TorNet ទទួលបានឈ្មោះរបស់វាពីសមត្ថភាពរបស់វាក្នុងការសម្របសម្រួលទំនាក់ទំនងរវាងអ្នកវាយប្រហារ និងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលតាមរយៈបណ្តាញអនាមិក TOR ។ យុទ្ធនាការនេះបង្ហាញពីបច្ចេកទេសគេចវេសកម្រិតខ្ពស់ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើប្រតិបត្តិការដោយសម្ងាត់ ខណៈពេលដែលរក្សាការចូលប្រើប្រាស់ម៉ាស៊ីនដែលមានមេរោគជាប់រហូត។

ល្បិចគេចវេសដ៏ឆ្លាតវៃ ធានាបាននូវការឈ្លានពានដោយសម្ងាត់

យន្ដការជាប់លាប់ដ៏សំខាន់មួយដែលត្រូវបានប្រើប្រាស់ដោយអ្នកគំរាមកំហែងពាក់ព័ន្ធនឹងការកំណត់ពេលភារកិច្ច Windows នៅលើឧបករណ៍ជនរងគ្រោះ រួមទាំងឧបករណ៍ដែលដំណើរការដោយថាមពលថ្មទាប។ លើសពីនេះ អ្នកវាយប្រហារផ្តាច់ប្រព័ន្ធសម្របសម្រួលចេញពីបណ្តាញ មុនពេលដាក់ពង្រាយ payload ដោយគ្រាន់តែភ្ជាប់វាឡើងវិញនៅពេលក្រោយ។ យុទ្ធសាស្ត្រនេះជួយរំលងការរកឃើញដោយដំណោះស្រាយសុវត្ថិភាពដែលមានមូលដ្ឋានលើពពក កាត់បន្ថយលទ្ធភាពនៃការកំណត់អត្តសញ្ញាណការគំរាមកំហែងដំបូង។

អ៊ីមែលបន្លំបោកបញ្ឆោតផ្ទុកបន្ទុកគំរាមកំហែង

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំដែលបានបង្កើតយ៉ាងប្រុងប្រយ័ត្ន ដែលបង្កជាស្ថាប័នហិរញ្ញវត្ថុស្របច្បាប់ ឬក្រុមហ៊ុនដឹកជញ្ជូន និងក្រុមហ៊ុនផលិតកម្ម។ អ៊ីមែលទាំងនេះច្រើនតែមានការបញ្ជាក់អំពីការផ្ទេរប្រាក់ក្លែងក្លាយ ឬបង្កាន់ដៃបញ្ជាទិញក្លែងក្លាយ។

ដើម្បីជៀសវាងការរកឃើញបន្ថែមទៀត អ្នកវាយប្រហារភ្ជាប់ឯកសារដែលបានបង្ហាប់ជាមួយនឹងផ្នែកបន្ថែម '.tgz' ។ ជម្រើសមិនធម្មតានេះជួយឱ្យឯកសាររំលងតម្រងសុវត្ថិភាព ដោយបង្កើនឱកាសដែលអ្នកទទួលនឹងបើកពួកវា។

ការប្រតិបត្តិពហុដំណាក់កាលបញ្ចេញ TorNet

នៅពេលដែលអ្នកទទួលស្រង់ចេញ និងបើកប័ណ្ណសារដែលភ្ជាប់មកនោះ កម្មវិធីទាញយក .NET ត្រូវបានប្រតិបត្តិ។ កម្មវិធីផ្ទុកនេះទទួលខុសត្រូវចំពោះការទាញយក និងដំណើរការ PureCrypter ដោយផ្ទាល់នៅក្នុងអង្គចងចាំ ដោយកំណត់ដំណាក់កាលសម្រាប់ការសម្របសម្រួលបន្ថែមទៀត។

បន្ទាប់មក PureCrypter បើកដំណើរការ TorNet backdoor ប៉ុន្តែមិនមែនមុនពេលធ្វើការត្រួតពិនិត្យសុវត្ថិភាពច្រើនដងនោះទេ។ ទាំងនេះរួមមានវិធានការប្រឆាំងនឹងការបំបាត់កំហុស ការរកឃើញម៉ាស៊ីននិម្មិត និងបច្ចេកទេសផ្សេងទៀតដែលត្រូវបានរចនាឡើងដើម្បីគេចចេញពីការវិភាគ និងឧបករណ៍ប្រឆាំងនឹងការគំរាមកំហែង។

TorNet Backdoor ពង្រីកផ្ទៃវាយប្រហារ

បន្ទាប់ពីដាក់ពង្រាយដោយជោគជ័យ TorNet backdoor បង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ខណៈពេលដែលភ្ជាប់ឧបករណ៍ដែលមានមេរោគទៅបណ្តាញ TOR ផងដែរ។ ការតភ្ជាប់នេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងរក្សាការប្រាស្រ័យទាក់ទងជាមួយប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលខណៈពេលដែលនៅសល់អនាមិក។

TorNet មានសមត្ថភាពទទួល និងដំណើរការការផ្គុំ .NET តាមអំពើចិត្តដោយផ្ទាល់នៅក្នុងអង្គចងចាំ ដែលពង្រីកផ្ទៃវាយប្រហារយ៉ាងសំខាន់។ តាមរយៈការទាញយក និងដំណើរការបន្ទុកបន្ថែមដែលមិនមានសុវត្ថិភាពពីម៉ាស៊ីនមេ C2 អ្នកវាយប្រហារអាចបង្កើនសកម្មភាពរបស់ពួកគេ ដែលនាំទៅដល់ការឈ្លានពានប្រព័ន្ធបន្ថែមទៀត និងការរំលោភទិន្នន័យដែលអាចកើតមាន។

TorNet Backdoor វីដេអូ

គន្លឹះ៖ បើក សំឡេងរបស់អ្នក ហើយ មើលវីដេអូក្នុងទម្រង់ពេញអេក្រង់ ។