TorNet Backdoor
Finansiāli apdraudēta persona ir organizējusi pikšķerēšanas e-pasta kampaņu vismaz kopš 2024. gada jūlija, īpašu uzmanību pievēršot lietotājiem Polijā un Vācijā. Šīs kampaņas rezultātā ir ieviesti vairāki draudi, tostarp aģents Tesla , Snake Keylogger un nesen identificētas aizmugures durvis ar nosaukumu TorNet.
TorNet nosaukums ir cēlies no tā spējas atvieglot saziņu starp uzbrucēju un apdraudēto sistēmu, izmantojot TOR anonimitātes tīklu. Kampaņa demonstrē uzlabotas izvairīšanās metodes, ļaujot uzbrucējiem darboties slepeni, vienlaikus saglabājot pastāvīgu piekļuvi inficētām iekārtām.
Satura rādītājs
Gudra izvairīšanās taktika nodrošina slepenu ielaušanos
Viens no galvenajiem noturības mehānismiem, ko izmanto apdraudējuma dalībnieks, ietver Windows uzdevumu plānošanu cietušajās ierīcēs, tostarp tajās, kurās darbojas zems akumulatora uzlādes līmenis. Turklāt uzbrucēji atvieno apdraudēto sistēmu no tīkla pirms lietderīgās slodzes izvietošanas, tikai pēc tam to atkārtoti savieno. Šī taktika palīdz apiet mākoņa bāzes drošības risinājumu noteikšanu, samazinot agrīnas draudu identificēšanas iespējamību.
Maldinoši pikšķerēšanas e-pasta ziņojumi pārvadā draudīgus slodzes
Uzbrukums sākas ar rūpīgi izstrādātiem pikšķerēšanas e-pastiem, kas tiek uzskatīti par likumīgām finanšu iestādēm vai loģistikas un ražošanas uzņēmumiem. Šajos e-pastos bieži ir viltoti naudas pārskaitījuma apstiprinājumi vai krāpnieciskas pasūtījuma kvītis.
Lai izvairītos no atklāšanas, uzbrucēji pievieno saspiestus failus ar paplašinājumu ".tgz". Šī neparastā izvēle palīdz failiem izslīdēt garām drošības filtriem, palielinot iespēju, ka adresāti tos atvērs.
Daudzpakāpju izpilde atbrīvo TorNet
Kad adresāts izvilks un atver pievienoto arhīvu, tiek izpildīts .NET ielādētājs. Šis ielādētājs ir atbildīgs par PureCrypter ienešanu un palaišanu tieši atmiņā, radot priekšnoteikumus turpmākam kompromisam.
Pēc tam PureCrypter palaiž TorNet aizmugures durvis, bet ne pirms vairāku drošības pārbaužu veikšanas. Tie ietver pretatkļūdošanas pasākumus, virtuālās mašīnas noteikšanu un citas metodes, kas paredzētas, lai izvairītos no analīzes un pretdraudu rīkiem.
TorNet aizmugures durvis paplašina uzbrukuma virsmu
Pēc veiksmīgas izvietošanas TorNet aizmugures durvis izveido savienojumu ar savu Command-and-Control (C2) serveri, vienlaikus saistot inficēto ierīci ar TOR tīklu. Šis savienojums ļauj apdraudējuma dalībniekam uzturēt saziņu ar apdraudēto sistēmu, vienlaikus paliekot anonīmam.
TorNet spēj saņemt un izpildīt patvaļīgus .NET komplektus tieši atmiņā, ievērojami paplašinot uzbrukuma virsmu. Lejupielādējot un palaižot papildu nedrošas slodzes no C2 servera, uzbrucēji var saasināt savas darbības, izraisot turpmākus sistēmas ielaušanos un potenciālus datu pārkāpumus.
TorNet Backdoor video
Padoms. Ieslēdziet skaņu un skatieties video pilnekrāna režīmā .
