Backdoor TorNet
Një aktor kërcënimi financiarisht ka orkestruar një fushatë emaili phishing që të paktën që nga korriku 2024, me një fokus të veçantë te përdoruesit në Poloni dhe Gjermani. Kjo fushatë ka çuar në vendosjen e kërcënimeve të shumta, duke përfshirë Agjentin Tesla , Snake Keylogger dhe një backdoor të sapo identifikuar të quajtur TorNet.
TorNet e merr emrin nga aftësia e tij për të lehtësuar komunikimin midis sulmuesit dhe sistemit të komprometuar përmes rrjetit të anonimitetit TOR. Fushata tregon teknika të avancuara evazioni, duke i lejuar sulmuesit të veprojnë fshehurazi duke ruajtur aksesin e vazhdueshëm në makinat e infektuara.
Tabela e Përmbajtjes
Taktikat e zgjuara të evazionit sigurojnë ndërhyrje të fshehta
Një nga mekanizmat kryesorë të qëndrueshmërisë së përdorur nga aktori i kërcënimit përfshin planifikimin e detyrave të Windows në pajisjet e viktimave, duke përfshirë ato që funksionojnë me bateri të ulët. Për më tepër, sulmuesit shkëputin sistemin e komprometuar nga rrjeti përpara se të vendosin ngarkesën, vetëm duke e rilidhur atë më pas. Kjo taktikë ndihmon në anashkalimin e zbulimit nga zgjidhjet e sigurisë të bazuara në cloud, duke reduktuar gjasat e identifikimit të hershëm të kërcënimit.
Emailet mashtruese të phishing mbartin ngarkesa kërcënuese
Sulmi fillon me email phishing të krijuara me kujdes që paraqiten si institucione financiare legjitime ose kompani logjistike dhe prodhuese. Këto emaile shpesh përmbajnë konfirmime të rreme të transfertave të parave ose fatura mashtruese të porosive.
Për të shmangur më tej zbulimin, sulmuesit bashkojnë skedarë të ngjeshur me shtesën '.tgz'. Kjo zgjedhje e pazakontë i ndihmon skedarët të kalojnë filtrat e sigurisë, duke rritur shanset që marrësit t'i hapin ato.
Një ekzekutim me shumë faza lëshon TorNet
Pasi marrësi ekstrakton dhe hap arkivin e bashkangjitur, ekzekutohet një ngarkues .NET. Ky ngarkues është përgjegjës për marrjen dhe ekzekutimin e PureCrypter drejtpërdrejt në memorie, duke vendosur skenën për kompromis të mëtejshëm.
PureCrypter më pas lëshon prapavijën e TorNet, por jo përpara se të kryejë kontrolle të shumta sigurie. Këto përfshijnë masa kundër korrigjimit, zbulimin e makinës virtuale dhe teknika të tjera të krijuara për të shmangur analizat dhe mjetet kundër kërcënimit.
Backdoor TorNet zgjeron sipërfaqen e sulmit
Pas vendosjes me sukses, porta e pasme e TorNet krijon një lidhje me serverin e saj Command-and-Control (C2) duke lidhur gjithashtu pajisjen e infektuar me rrjetin TOR. Kjo lidhje i lejon aktorit të kërcënimit të mbajë komunikim me sistemin e komprometuar duke mbetur anonim.
TorNet është në gjendje të marrë dhe ekzekutojë asamble arbitrare .NET drejtpërdrejt në memorie, duke zgjeruar ndjeshëm sipërfaqen e sulmit. Duke shkarkuar dhe ekzekutuar ngarkesa shtesë të pasigurta nga serveri C2, sulmuesit mund të përshkallëzojnë aktivitetet e tyre, duke çuar në ndërhyrje të mëtejshme në sistem dhe shkelje të mundshme të të dhënave.
Backdoor TorNet Video
Këshillë: Kthejeni tingullin tuaj dhe të shikojnë video në mënyrë të plotë ekran.
