TorNet Backdoor
Finansinių grėsmių veikėjas mažiausiai nuo 2024 m. liepos mėn. rengia sukčiavimo el. pašto kampaniją, ypatingą dėmesį skirdamas vartotojams Lenkijoje ir Vokietijoje. Dėl šios kampanijos buvo įdiegtos kelios grėsmės, įskaitant agentą Tesla , Snake Keylogger ir naujai identifikuotas užpakalines duris pavadinimu TorNet.
„TorNet“ kilo dėl savo gebėjimo palengvinti ryšį tarp užpuoliko ir pažeistos sistemos per TOR anonimiškumo tinklą. Kampanija demonstruoja pažangius vengimo būdus, leidžiančius užpuolikams veikti slaptai, išlaikant nuolatinę prieigą prie užkrėstų mašinų.
Turinys
Protinga vengimo taktika užtikrina slaptą įsibrovimą
Vienas iš pagrindinių atkaklumo mechanizmų, kuriuos naudoja grėsmės veikėjas, yra „Windows“ užduočių planavimas nukentėjusiuose įrenginiuose, įskaitant tuos, kuriuose veikia senka baterija. Be to, užpuolikai atjungia pažeistą sistemą nuo tinklo prieš įdiegdami naudingąją apkrovą, o tik vėliau ją vėl prijungia. Ši taktika padeda apeiti debesyje pagrįstų saugos sprendimų aptikimą ir sumažina ankstyvo grėsmės identifikavimo tikimybę.
Apgaulingi sukčiavimo el. laiškai neša grėsmingus krovinius
Ataka prasideda nuo kruopščiai parengtų sukčiavimo el. laiškų, kurie rodomi kaip teisėtos finansų institucijos arba logistikos ir gamybos įmonės. Šiuose el. laiškuose dažnai pateikiami netikri pinigų pervedimo patvirtinimai arba apgaulingi užsakymo kvitai.
Kad būtų išvengta aptikimo, užpuolikai prideda suglaudintus failus su plėtiniu „.tgz“. Šis neįprastas pasirinkimas padeda failams praslysti už saugos filtrų ir padidina tikimybę, kad gavėjai juos atidarys.
Daugiapakopis vykdymas išlaisvina „TorNet“.
Kai gavėjas ištraukia ir atidaro pridėtą archyvą, vykdomas .NET įkroviklis. Šis įkroviklis yra atsakingas už PureCrypter gavimą ir paleidimą tiesiai į atmintį, sudarydamas sąlygas tolesniam kompromisui.
Tada „PureCrypter“ paleidžia „TorNet“ užpakalines duris, bet ne prieš atlikdama kelis saugumo patikrinimus. Tai apima apsaugos nuo derinimo priemones, virtualiosios mašinos aptikimą ir kitus metodus, skirtus išvengti analizės ir kovos su grėsmėmis įrankių.
„TorNet Backdoor“ išplečia atakos paviršių
Sėkmingai įdiegus, „TorNet“ užpakalinės durys užmezga ryšį su savo komandų ir valdymo (C2) serveriu, kartu susiejant užkrėstą įrenginį su TOR tinklu. Šis ryšys leidžia grėsmės veikėjui palaikyti ryšį su pažeista sistema ir likti anonimu.
„TorNet“ gali priimti ir vykdyti savavališkus .NET rinkinius tiesiai į atmintį, žymiai praplėsdamas atakos paviršių. Atsisiųsdami ir paleisdami papildomus nesaugius naudingus krovinius iš C2 serverio, užpuolikai gali eskaluoti savo veiklą, o tai gali sukelti tolesnius sistemos įsilaužimus ir galimus duomenų pažeidimus.
TorNet Backdoor vaizdo įrašas
Patarimas: ĮJUNKITE garsą ir žiūrėkite vaizdo įrašą viso ekrano režimu .
