TorNet bakdør
En økonomisk drevet trusselaktør har orkestrert en phishing-e-postkampanje siden minst juli 2024, med spesielt fokus på brukere i Polen og Tyskland. Denne kampanjen har ført til utplassering av flere trusler, inkludert Agent Tesla , Snake Keylogger og en nylig identifisert bakdør kalt TorNet.
TorNet henter navnet fra sin evne til å lette kommunikasjonen mellom angriperen og det kompromitterte systemet via TOR-anonymitetsnettverket. Kampanjen viser frem avanserte unnvikelsesteknikker, som lar angriperne operere snikende mens de opprettholder vedvarende tilgang til infiserte maskiner.
Innholdsfortegnelse
Smarte unndragelsestaktikker sikrer snikende inntrengninger
En av de viktigste utholdenhetsmekanismene som brukes av trusselaktøren innebærer å planlegge Windows-oppgaver på offerenheter, inkludert de som kjører på lavt batteri. I tillegg kobler angriperne det kompromitterte systemet fra nettverket før de distribuerer nyttelasten, bare kobler det til igjen etterpå. Denne taktikken hjelper til med å omgå deteksjon av skybaserte sikkerhetsløsninger, og reduserer sannsynligheten for tidlig trusselidentifikasjon.
Villedende phishing-e-poster har truende nyttelast
Angrepet begynner med nøye utformede phishing-e-poster som utgir seg for å være legitime finansinstitusjoner eller logistikk- og produksjonsbedrifter. Disse e-postene inneholder ofte falske pengeoverføringsbekreftelser eller falske ordrekvitteringer.
For ytterligere å unngå oppdagelse legger angriperne ved komprimerte filer med utvidelsen '.tgz'. Dette uvanlige valget hjelper filene å gli forbi sikkerhetsfiltre, og øker sjansene for at mottakerne åpner dem.
En flertrinns utførelse slipper løs TorNet
Når mottakeren trekker ut og åpner det vedlagte arkivet, kjøres en .NET-laster. Denne lasteren er ansvarlig for å hente og kjøre PureCrypter direkte i minnet, og legger grunnlaget for ytterligere kompromisser.
PureCrypter starter deretter TorNet-bakdøren, men ikke før flere sikkerhetskontroller utføres. Disse inkluderer tiltak mot feilsøking, gjenkjenning av virtuelle maskiner og andre teknikker designet for å unngå analyse og anti-trusselverktøy.
TorNet-bakdøren utvider angrepsoverflaten
Etter vellykket distribusjon etablerer TorNet-bakdøren en forbindelse med Command-and-Control-serveren (C2) samtidig som den kobler den infiserte enheten til TOR-nettverket. Denne forbindelsen lar trusselaktøren opprettholde kommunikasjonen med det kompromitterte systemet mens han forblir anonym.
TorNet er i stand til å motta og utføre vilkårlige .NET-sammenstillinger direkte i minnet, noe som utvider angrepsoverflaten betydelig. Ved å laste ned og kjøre ytterligere usikre nyttelaster fra C2-serveren, kan angriperne eskalere aktivitetene sine, noe som fører til ytterligere systeminntrenging og potensielle datainnbrudd.
TorNet bakdør video
Tips: Slå PÅ lyden og se videoen i fullskjermmodus .
