TorNet Backdoor
Seorang pelakon ancaman yang didorong oleh kewangan telah mengatur kempen e-mel pancingan data sejak sekurang-kurangnya Julai 2024, dengan tumpuan khusus pada pengguna di Poland dan Jerman. Kempen ini telah membawa kepada penyebaran pelbagai ancaman, termasuk Ejen Tesla , Snake Keylogger dan pintu belakang yang baru dikenal pasti bernama TorNet.
TorNet memperoleh namanya daripada keupayaannya untuk memudahkan komunikasi antara penyerang dan sistem yang terjejas melalui rangkaian tanpa nama TOR. Kempen ini mempamerkan teknik pengelakan lanjutan, membolehkan penyerang beroperasi secara senyap sambil mengekalkan akses berterusan kepada mesin yang dijangkiti.
Isi kandungan
Taktik Mengelak Bijak Memastikan Pencerobohan Senyap
Salah satu mekanisme kegigihan utama yang digunakan oleh aktor ancaman melibatkan penjadualan tugas Windows pada peranti mangsa, termasuk yang berjalan pada bateri lemah. Selain itu, penyerang memutuskan sambungan sistem yang terjejas daripada rangkaian sebelum menggunakan muatan, hanya menyambungkannya semula selepas itu. Taktik ini membantu memintas pengesanan oleh penyelesaian keselamatan berasaskan awan, mengurangkan kemungkinan pengecaman ancaman awal.
E-mel Phishing Menipu Membawa Muatan Mengancam
Serangan bermula dengan e-mel pancingan data yang dibuat dengan teliti yang menyamar sebagai institusi kewangan atau syarikat logistik dan pembuatan yang sah. E-mel ini selalunya mengandungi pengesahan pemindahan wang palsu atau resit pesanan palsu.
Untuk mengelakkan pengesanan lagi, penyerang melampirkan fail termampat dengan sambungan '.tgz'. Pilihan luar biasa ini membantu fail melepasi penapis keselamatan, meningkatkan peluang penerima akan membukanya.
Pelaksanaan Berbilang Peringkat Melancarkan TorNet
Sebaik sahaja penerima mengekstrak dan membuka arkib yang dilampirkan, pemuat .NET dilaksanakan. Pemuat ini bertanggungjawab untuk mengambil dan menjalankan PureCrypter terus dalam ingatan, menetapkan peringkat untuk kompromi selanjutnya.
PureCrypter kemudian melancarkan pintu belakang TorNet, tetapi tidak sebelum menjalankan beberapa pemeriksaan keselamatan. Ini termasuk langkah anti-debug, pengesanan mesin maya dan teknik lain yang direka untuk mengelakkan analisis dan alat anti-ancaman.
Pintu Belakang TorNet Mengembangkan Permukaan Serangan
Selepas berjaya digunakan, pintu belakang TorNet mewujudkan sambungan dengan pelayan Command-and-Control (C2) sambil memautkan peranti yang dijangkiti ke rangkaian TOR. Sambungan ini membolehkan pelaku ancaman mengekalkan komunikasi dengan sistem yang terjejas sambil kekal tanpa nama.
TorNet mampu menerima dan melaksanakan himpunan .NET sewenang-wenangnya terus dalam ingatan, meluaskan permukaan serangan dengan ketara. Dengan memuat turun dan menjalankan muatan tidak selamat tambahan daripada pelayan C2, penyerang boleh meningkatkan aktiviti mereka, yang membawa kepada pencerobohan sistem selanjutnya dan potensi pelanggaran data.
Video TorNet Backdoor
Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .
