Бэкдор TorNet
Финансово мотивированный злоумышленник организовывал фишинговую кампанию по электронной почте по крайней мере с июля 2024 года, уделяя особое внимание пользователям в Польше и Германии. Эта кампания привела к развертыванию нескольких угроз, включая Agent Tesla , Snake Keylogger и недавно идентифицированный бэкдор под названием TorNet.
TorNet получил свое название из-за своей способности облегчать связь между злоумышленником и скомпрометированной системой через анонимную сеть TOR. Кампания демонстрирует передовые методы уклонения, позволяющие злоумышленникам действовать скрытно, сохраняя при этом постоянный доступ к зараженным машинам.
Оглавление
Продуманная тактика уклонения обеспечивает скрытные вторжения
Один из ключевых механизмов сохранения, используемых злоумышленником, включает планирование задач Windows на устройствах жертвы, включая те, которые работают на низком уровне заряда батареи. Кроме того, злоумышленники отключают скомпрометированную систему от сети перед развертыванием полезной нагрузки, подключая ее повторно только после этого. Эта тактика помогает обойти обнаружение облачными решениями безопасности, снижая вероятность раннего выявления угрозы.
Обманчивые фишинговые письма несут в себе опасные данные
Атака начинается с тщательно составленных фишинговых писем, которые выдают себя за настоящие финансовые учреждения или логистические и производственные компании. Эти письма часто содержат поддельные подтверждения денежных переводов или мошеннические квитанции о заказе.
Чтобы еще больше избежать обнаружения, злоумышленники прикрепляют сжатые файлы с расширением '.tgz'. Этот необычный выбор помогает файлам обойти фильтры безопасности, увеличивая вероятность того, что получатели их откроют.
Многоэтапное исполнение высвобождает TorNet
После того, как получатель извлекает и открывает прикрепленный архив, запускается загрузчик .NET. Этот загрузчик отвечает за извлечение и запуск PureCrypter непосредственно в памяти, подготавливая почву для дальнейшей компрометации.
Затем PureCrypter запускает бэкдор TorNet, но не раньше, чем проведет несколько проверок безопасности. Они включают в себя меры по борьбе с отладкой, обнаружение виртуальных машин и другие методы, разработанные для обхода инструментов анализа и борьбы с угрозами.
Бэкдор TorNet расширяет поверхность атаки
После успешного развертывания бэкдор TorNet устанавливает соединение со своим сервером Command-and-Control (C2), одновременно связывая зараженное устройство с сетью TOR. Это соединение позволяет злоумышленнику поддерживать связь с скомпрометированной системой, оставаясь анонимным.
TorNet способен получать и выполнять произвольные сборки .NET непосредственно в памяти, что значительно расширяет поверхность атаки. Загружая и запуская дополнительные небезопасные полезные нагрузки с сервера C2, злоумышленники могут расширить свою деятельность, что приведет к дальнейшим вторжениям в систему и потенциальным утечкам данных.
Бэкдор TorNet Видео
Совет: Включите звук ON и смотреть видео в полноэкранном режиме.
