TorNet Backdoor
Finansowo nastawiony aktor zagrożeń organizuje kampanię phishingową od co najmniej lipca 2024 r., ze szczególnym uwzględnieniem użytkowników w Polsce i Niemczech. Kampania ta doprowadziła do wdrożenia wielu zagrożeń, w tym Agent Tesla , Snake Keylogger i nowo zidentyfikowanego tylnego wejścia o nazwie TorNet.
TorNet zawdzięcza swoją nazwę swojej zdolności do ułatwiania komunikacji między atakującym a skompromitowanym systemem za pośrednictwem anonimowej sieci TOR. Kampania prezentuje zaawansowane techniki unikania, umożliwiając atakującym działanie w ukryciu, przy jednoczesnym zachowaniu stałego dostępu do zainfekowanych maszyn.
Spis treści
Sprytne taktyki unikania zapewniają dyskretne wtargnięcia
Jednym z kluczowych mechanizmów trwałości wykorzystywanych przez aktora zagrożenia jest planowanie zadań systemu Windows na urządzeniach ofiary, w tym tych działających przy niskim poziomie naładowania baterii. Ponadto atakujący odłączają zainfekowany system od sieci przed wdrożeniem ładunku, a następnie ponownie go podłączają. Ta taktyka pomaga ominąć wykrywanie przez rozwiązania bezpieczeństwa oparte na chmurze, zmniejszając prawdopodobieństwo wczesnej identyfikacji zagrożenia.
Oszukańcze wiadomości e-mail typu phishing zawierają groźne ładunki
Atak zaczyna się od starannie opracowanych wiadomości e-mail phishingowych, które podszywają się pod legalne instytucje finansowe lub firmy logistyczne i produkcyjne. Te wiadomości e-mail często zawierają fałszywe potwierdzenia przelewów pieniężnych lub fałszywe potwierdzenia zamówień.
Aby jeszcze bardziej uniknąć wykrycia, atakujący dołączają skompresowane pliki z rozszerzeniem „.tgz”. Ten nietypowy wybór pomaga plikom ominąć filtry bezpieczeństwa, zwiększając szanse na ich otwarcie przez odbiorców.
Wieloetapowe wykonanie uwalnia TorNet
Gdy odbiorca wypakuje i otworzy załączone archiwum, uruchamiany jest program ładujący .NET. Ten program ładujący jest odpowiedzialny za pobieranie i uruchamianie PureCrypter bezpośrednio w pamięci, co przygotowuje grunt pod dalsze kompromisy.
Następnie PureCrypter uruchamia tylne drzwi TorNet, ale nie wcześniej niż przeprowadza wiele kontroli bezpieczeństwa. Obejmują one środki antydebugujące, wykrywanie maszyn wirtualnych i inne techniki zaprojektowane w celu uniknięcia narzędzi analitycznych i antyzagrożeniowych.
Tylne drzwi TorNet rozszerzają powierzchnię ataku
Po pomyślnym wdrożeniu, tylne wejście TorNet nawiązuje połączenie ze swoim serwerem Command-and-Control (C2), a także łączy zainfekowane urządzenie z siecią TOR. To połączenie pozwala aktorowi zagrożenia na utrzymanie komunikacji z naruszonym systemem, zachowując anonimowość.
TorNet jest w stanie odbierać i wykonywać dowolne zestawy .NET bezpośrednio w pamięci, znacznie poszerzając powierzchnię ataku. Pobierając i uruchamiając dodatkowe niebezpieczne ładunki z serwera C2, atakujący mogą eskalować swoje działania, co prowadzi do dalszych włamań do systemu i potencjalnych naruszeń danych.
TorNet Backdoor wideo
Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.
