TorNet-achterdeur

Tegen Mezo in Malware, Achterdeurtjes, Trojanen

Vertalen naar:

Een financieel gedreven dreigingsactor orkestreert al sinds ten minste juli 2024 een phishing-e-mailcampagne, met een specifieke focus op gebruikers in Polen en Duitsland. Deze campagne heeft geleid tot de inzet van meerdere bedreigingen, waaronder de Agent Tesla , de Snake Keylogger en een onlangs geïdentificeerde backdoor genaamd TorNet.

TorNet ontleent zijn naam aan zijn vermogen om communicatie tussen de aanvaller en het gecompromitteerde systeem te faciliteren via het TOR-anonimiteitsnetwerk. De campagne toont geavanceerde ontwijkingstechnieken, waardoor aanvallers heimelijk kunnen opereren en tegelijkertijd permanente toegang tot geïnfecteerde machines kunnen behouden.

Inhoudsopgave

Slimme ontwijkingstechnieken zorgen voor heimelijke indringers

Een van de belangrijkste persistentiemechanismen die de dreigingsactor gebruikt, is het plannen van Windows-taken op slachtofferapparaten, inclusief apparaten die op een lage batterij werken. Bovendien ontkoppelen de aanvallers het gecompromitteerde systeem van het netwerk voordat ze de payload implementeren, en maken ze pas daarna weer verbinding. Deze tactiek helpt detectie door cloudgebaseerde beveiligingsoplossingen te omzeilen, waardoor de kans op vroege identificatie van bedreigingen wordt verkleind.

Misleidende phishing-e-mails bevatten bedreigende payloads

De aanval begint met zorgvuldig opgestelde phishing-e-mails die zich voordoen als legitieme financiële instellingen of logistieke en productiebedrijven. Deze e-mails bevatten vaak valse bevestigingen van geldtransacties of frauduleuze orderontvangsten.

Om detectie verder te vermijden, voegen de aanvallers gecomprimeerde bestanden toe met de extensie '.tgz'. Deze ongebruikelijke keuze helpt de bestanden om beveiligingsfilters te omzeilen, waardoor de kans groter wordt dat ontvangers ze openen.

Een uitvoering in meerdere fasen ontketent TorNet

Zodra de ontvanger het bijgevoegde archief uitpakt en opent, wordt een .NET-loader uitgevoerd. Deze loader is verantwoordelijk voor het ophalen en uitvoeren van PureCrypter rechtstreeks in het geheugen, wat de basis vormt voor verdere compromittering.

PureCrypter lanceert vervolgens de TorNet-backdoor, maar niet voordat er meerdere beveiligingscontroles zijn uitgevoerd. Deze omvatten anti-debuggingmaatregelen, detectie van virtuele machines en andere technieken die zijn ontworpen om analyse en anti-bedreigingstools te omzeilen.

De TorNet-backdoor vergroot het aanvalsoppervlak

Na succesvolle implementatie maakt de TorNet-backdoor een verbinding met zijn Command-and-Control (C2)-server, terwijl het geïnfecteerde apparaat ook aan het TOR-netwerk wordt gekoppeld. Deze verbinding stelt de dreigingsactor in staat om communicatie met het gecompromitteerde systeem te onderhouden en tegelijkertijd anoniem te blijven.

TorNet kan willekeurige .NET-assemblies rechtstreeks in het geheugen ontvangen en uitvoeren, wat het aanvalsoppervlak aanzienlijk vergroot. Door extra onveilige payloads van de C2-server te downloaden en uit te voeren, kunnen aanvallers hun activiteiten escaleren, wat leidt tot verdere systeeminbraken en mogelijke datalekken.