TorNet Backdoor

재정적으로 주도되는 위협 행위자는 적어도 2024년 7월부터 폴란드와 독일의 사용자를 중심으로 피싱 이메일 캠페인을 조율해 왔습니다. 이 캠페인은 Agent Tesla , Snake Keylogger 및 TorNet이라는 새로 발견된 백도어를 포함한 여러 위협의 배포로 이어졌습니다.

TorNet은 TOR 익명 네트워크를 통해 공격자와 손상된 시스템 간의 통신을 용이하게 하는 기능에서 이름을 따왔습니다. 이 캠페인은 고급 회피 기술을 선보이며, 공격자는 감염된 컴퓨터에 지속적으로 액세스하면서 은밀하게 작업할 수 있습니다.

영리한 회피 전술로 은밀한 침입 보장

위협 행위자가 사용하는 주요 지속성 메커니즘 중 하나는 배터리가 부족한 상태에서 실행되는 장치를 포함하여 피해자 장치에서 Windows 작업을 예약하는 것입니다. 또한 공격자는 페이로드를 배포하기 전에 손상된 시스템을 네트워크에서 분리한 다음 나중에 다시 연결합니다. 이 전술은 클라우드 기반 보안 솔루션의 감지를 우회하여 조기 위협 식별 가능성을 줄이는 데 도움이 됩니다.

사기성 피싱 이메일에는 위협적인 페이로드가 포함되어 있습니다.

공격은 합법적인 금융 기관이나 물류 및 제조 회사인 것처럼 가장한 신중하게 제작된 피싱 이메일로 시작됩니다. 이러한 이메일에는 종종 가짜 송금 확인이나 사기성 주문 영수증이 포함되어 있습니다.

탐지를 더욱 피하기 위해 공격자는 '.tgz' 확장자를 가진 압축 파일을 첨부합니다. 이 흔하지 않은 선택은 파일이 보안 필터를 통과하는 데 도움이 되어 수신자가 파일을 열 가능성이 높아집니다.

다단계 실행으로 TorNet이 풀려납니다.

수신자가 첨부된 아카이브를 추출하여 열면 .NET 로더가 실행됩니다. 이 로더는 PureCrypter를 메모리에서 직접 페치하여 실행하여 추가적인 침해를 위한 무대를 마련합니다.

PureCrypter는 TorNet 백도어를 실행하지만, 여러 보안 검사를 실시하기 전에는 실행하지 않습니다. 여기에는 디버깅 방지 조치, 가상 머신 감지 및 분석 및 위협 방지 도구를 회피하도록 설계된 기타 기술이 포함됩니다.

TorNet 백도어가 공격 표면을 확장합니다

성공적으로 배포된 후 TorNet 백도어는 명령 및 제어(C2) 서버와 연결을 설정하는 동시에 감염된 장치를 TOR 네트워크에 연결합니다. 이 연결을 통해 위협 행위자는 익명을 유지하면서 손상된 시스템과 통신을 유지할 수 있습니다.

TorNet은 임의의 .NET 어셈블리를 메모리에서 직접 수신하고 실행할 수 있어 공격 표면이 상당히 넓어집니다. C2 서버에서 추가적인 안전하지 않은 페이로드를 다운로드하고 실행함으로써 공격자는 활동을 확대하여 추가 시스템 침입과 잠재적인 데이터 침해로 이어질 수 있습니다.

TorNet Backdoor 비디오

팁 : ON 사운드를 켜고 전체 화면 모드에서 비디오를 볼.