TorNet Backdoor
Un actor de amenințări determinat din punct de vedere financiar a orchestrat o campanie de e-mail de phishing cel puțin din iulie 2024, cu un accent deosebit pe utilizatorii din Polonia și Germania. Această campanie a dus la implementarea mai multor amenințări, inclusiv agentul Tesla , Snake Keylogger și o ușă din spate nou identificată, numită TorNet.
TorNet își derivă numele din capacitatea sa de a facilita comunicarea dintre atacator și sistemul compromis prin intermediul rețelei de anonimat TOR. Campania prezintă tehnici avansate de evaziune, permițând atacatorilor să opereze pe furiș, menținând în același timp accesul persistent la mașinile infectate.
Cuprins
Tacticile inteligente de evaziune asigură intruziuni ascunse
Unul dintre mecanismele cheie de persistență utilizate de actorul amenințării implică programarea sarcinilor Windows pe dispozitivele victime, inclusiv pe cele care rulează cu baterie descărcată. În plus, atacatorii deconectează sistemul compromis de la rețea înainte de a implementa sarcina utilă, reconectandu-l doar ulterior. Această tactică ajută la ocolirea detectării prin soluții de securitate bazate pe cloud, reducând probabilitatea identificării timpurii a amenințărilor.
E-mailurile de phishing înșelătoare poartă sarcini utile amenințătoare
Atacul începe cu e-mailuri de phishing atent elaborate, care se prezintă drept instituții financiare legitime sau companii de logistică și producție. Aceste e-mailuri conțin adesea confirmări false de transfer de bani sau chitanțe de comenzi frauduloase.
Pentru a evita și mai mult detectarea, atacatorii atașează fișiere comprimate cu extensia „.tgz”. Această alegere neobișnuită ajută fișierele să treacă peste filtrele de securitate, crescând șansele ca destinatarii să le deschidă.
O execuție în mai multe etape declanșează TorNet
Odată ce destinatarul extrage și deschide arhiva atașată, se execută un încărcător .NET. Acest încărcător este responsabil pentru preluarea și rularea PureCrypter direct în memorie, punând terenul pentru compromisuri suplimentare.
PureCrypter lansează apoi backdoor TorNet, dar nu înainte de a efectua mai multe verificări de securitate. Acestea includ măsuri anti-depanare, detectarea mașinilor virtuale și alte tehnici concepute pentru a evita instrumentele de analiză și anti-amenințări.
Backdoor TorNet extinde suprafața de atac
După implementarea cu succes, ușa din spate TorNet stabilește o conexiune cu serverul său de comandă și control (C2), conectând, de asemenea, dispozitivul infectat la rețeaua TOR. Această conexiune permite actorului amenințării să mențină comunicarea cu sistemul compromis, rămânând în același timp anonim.
TorNet este capabil să primească și să execute ansambluri .NET arbitrare direct în memorie, lărgind semnificativ suprafața de atac. Descărcând și rulând încărcături utile suplimentare nesigure de pe serverul C2, atacatorii își pot escalada activitățile, ducând la noi intruziuni în sistem și potențiale încălcări ale datelor.
TorNet Backdoor Video
Sfat: porniți sunetul și vizionați videoclipul în modul Ecran complet .
