TorNet Backdoor
Finančne riadený aktér hrozieb organizuje phishingovú e-mailovú kampaň minimálne od júla 2024 s osobitným zameraním na používateľov v Poľsku a Nemecku. Táto kampaň viedla k nasadeniu viacerých hrozieb, vrátane Agent Tesla , Snake Keylogger a novo identifikovaného zadného vrátka s názvom TorNet.
TorNet odvodzuje svoj názov od jeho schopnosti uľahčiť komunikáciu medzi útočníkom a napadnutým systémom prostredníctvom siete anonymity TOR. Kampaň predstavuje pokročilé únikové techniky, ktoré umožňujú útočníkom operovať tajne a zároveň udržiavať trvalý prístup k infikovaným počítačom.
Obsah
Dômyselná úniková taktika zaisťuje nenápadné prieniky
Jedným z kľúčových mechanizmov pretrvávania, ktoré používa aktér hrozby, je plánovanie úloh systému Windows na zariadeniach obetí, vrátane tých, ktoré bežia na vybitú batériu. Okrem toho útočníci odpoja napadnutý systém od siete pred nasadením užitočného zaťaženia a potom ho znova pripoja. Táto taktika pomáha obísť detekciu cloudovými bezpečnostnými riešeniami, čím sa znižuje pravdepodobnosť včasnej identifikácie hrozieb.
Podvodné phishingové e-maily prinášajú hrozivé množstvo
Útok začína starostlivo vytvorenými phishingovými e-mailami, ktoré sa tvária ako legitímne finančné inštitúcie alebo logistické a výrobné spoločnosti. Tieto e-maily často obsahujú falošné potvrdenia o prevode peňazí alebo podvodné potvrdenia o objednávke.
Aby sa zabránilo odhaleniu, útočníci pripájajú komprimované súbory s príponou '.tgz'. Táto nezvyčajná voľba pomáha súborom prekĺznuť cez bezpečnostné filtre, čím sa zvyšuje šanca, že ich príjemcovia otvoria.
Viacstupňová realizácia spúšťa TorNet
Keď príjemca rozbalí a otvorí priložený archív, spustí sa zavádzač .NET. Tento zavádzač je zodpovedný za načítanie a spustenie PureCrypter priamo v pamäti, čím pripravuje pôdu pre ďalšie kompromisy.
PureCrypter potom spustí zadné vrátka TorNet, ale nie pred vykonaním viacerých bezpečnostných kontrol. Patria sem opatrenia proti ladeniu, detekcia virtuálnych strojov a ďalšie techniky navrhnuté tak, aby sa vyhli analýze a nástrojom proti hrozbám.
TorNet Backdoor rozširuje útočnú plochu
Po úspešnom nasadení TorNet backdoor vytvorí spojenie so svojim Command-and-Control (C2) serverom a zároveň prepojí infikované zariadenie so sieťou TOR. Toto spojenie umožňuje aktérovi hrozby udržiavať komunikáciu s napadnutým systémom a zároveň zostať v anonymite.
TorNet je schopný prijímať a spúšťať ľubovoľné zostavy .NET priamo v pamäti, čím sa výrazne rozširuje plocha útoku. Stiahnutím a spustením ďalších nebezpečných dát zo servera C2 môžu útočníci eskalovať svoje aktivity, čo vedie k ďalším prienikom do systému a potenciálnemu narušeniu údajov.
TorNet Backdoor Video
Tip: Zapnite si zvuk a sledujte video v režime celej obrazovky .
