Zadnja vrata TorNet
Finančno usmerjen akter grožnje je najmanj od julija 2024 orkestriral e-poštno kampanjo z lažnim predstavljanjem, s posebnim poudarkom na uporabnikih na Poljskem in v Nemčiji. Ta kampanja je privedla do uvedbe številnih groženj, vključno z agentom Tesla , Snake Keyloggerjem in na novo identificiranim zadnjim vratom, imenovanim TorNet.
Ime TorNet izhaja iz zmožnosti olajšanja komunikacije med napadalcem in ogroženim sistemom prek anonimnega omrežja TOR. Kampanja prikazuje napredne tehnike izogibanja, ki napadalcem omogočajo prikrito delovanje, hkrati pa ohranjajo stalen dostop do okuženih strojev.
Kazalo
Pametne taktike izogibanja zagotavljajo prikrite vdore
Eden od ključnih mehanizmov vztrajnosti, ki jih uporablja povzročitelj grožnje, vključuje načrtovanje opravil Windows na napravah žrtev, vključno s tistimi, ki delujejo s skoraj praznim akumulatorjem. Poleg tega napadalci prekinejo povezavo ogroženega sistema z omrežja, preden namestijo tovor, in ga znova povežejo šele nato. Ta taktika pomaga obiti zaznavanje varnostnih rešitev v oblaku in zmanjša verjetnost zgodnjega prepoznavanja groženj.
Zavajajoča e-poštna sporočila z lažnim predstavljanjem nosijo nevarno koristno vsebino
Napad se začne s skrbno oblikovanimi lažnimi e-poštnimi sporočili, ki se predstavljajo kot zakonite finančne institucije ali logistična in proizvodna podjetja. Ta e-poštna sporočila pogosto vsebujejo ponarejena potrdila o prenosu denarja ali goljufiva potrdila o naročilu.
Da bi se še dodatno izognili odkrivanju, napadalci priložijo stisnjene datoteke s pripono '.tgz'. Ta neobičajna izbira pomaga datotekam zdrsniti mimo varnostnih filtrov, kar poveča možnosti, da jih bodo prejemniki odprli.
Večstopenjska izvedba sprosti TorNet
Ko prejemnik ekstrahira in odpre priloženi arhiv, se izvede nalagalnik .NET. Ta nalagalnik je odgovoren za pridobivanje in izvajanje PureCrypterja neposredno v pomnilniku, s čimer pripravlja temelje za nadaljnji kompromis.
PureCrypter nato zažene stranska vrata TorNet, vendar ne preden izvede več varnostnih pregledov. Ti vključujejo ukrepe proti odpravljanju napak, zaznavanje virtualnega stroja in druge tehnike, namenjene izogibanju analizam in orodjem za preprečevanje groženj.
Zadnja vrata TorNet razširijo območje napada
Po uspešni namestitvi stranska vrata TorNet vzpostavijo povezavo s svojim strežnikom Command-and-Control (C2), hkrati pa povežejo okuženo napravo z omrežjem TOR. Ta povezava omogoča akterju grožnje, da vzdržuje komunikacijo z ogroženim sistemom in hkrati ostane anonimen.
TorNet je sposoben sprejemati in izvajati poljubne sestave .NET neposredno v pomnilniku, kar znatno razširi površino napada. S prenosom in izvajanjem dodatnega nevarnega koristnega tovora s strežnika C2 lahko napadalci stopnjevajo svoje dejavnosti, kar vodi do nadaljnjih vdorov v sistem in potencialnih kršitev podatkov.
Zadnja vrata TorNet Video
Nasvet: Obrnite zvok ON in si ogledate video v Full Screen načinu.
