TorNet Backdoor
Финансијски вођени актер претњи је организовао пхисхинг емаил кампању најмање од јула 2024, са посебним фокусом на кориснике у Пољској и Немачкој. Ова кампања је довела до примене вишеструких претњи, укључујући Агента Теслу , Снаке Кеилоггер- а и новоидентификовани бацкдоор под називом ТорНет.
ТорНет је добио име по својој способности да олакша комуникацију између нападача и компромитованог система преко ТОР мреже анонимности. Кампања приказује напредне технике избегавања, омогућавајући нападачима да делују прикривено, док истовремено одржавају упоран приступ зараженим машинама.
Преглед садржаја
Паметне тактике избегавања обезбеђују прикривене упаде
Један од кључних механизама постојаности које користи актер претње укључује заказивање Виндовс задатака на уређајима жртве, укључујући оне који раде на ниској батерији. Поред тога, нападачи искључују компромитовани систем са мреже пре постављања корисног оптерећења, само га поново повезујући након тога. Ова тактика помаже да се заобиђе детекција помоћу безбедносних решења заснованих на облаку, смањујући вероватноћу ране идентификације претњи.
Обмањујућа е-порука са „пецањем“ садржи претеће податке
Напад почиње пажљиво израђеним пхисхинг имејловима који се представљају као легитимне финансијске институције или логистичке и производне компаније. Ове е-поруке често садрже лажне потврде о трансферу новца или лажне признанице о поруџбини.
Да би даље избегли откривање, нападачи прилажу компримоване датотеке са екстензијом '.тгз'. Овај необичан избор помаже датотекама да прођу кроз безбедносне филтере, повећавајући шансе да их примаоци отворе.
Вишестепено извршавање ослобађа ТорНет
Када прималац издвоји и отвори приложену архиву, извршава се .НЕТ учитавач. Овај учитавач је одговоран за преузимање и покретање ПуреЦриптер-а директно у меморији, постављајући терен за даљи компромис.
ПуреЦриптер затим покреће ТорНет бацкдоор, али не пре него што изврши вишеструке безбедносне провере. То укључује мере против отклањања грешака, откривање виртуелних машина и друге технике дизајниране да избегну алате за анализу и спречавање претњи.
ТорНет бацкдоор проширује површину напада
Након успешног постављања, ТорНет бацкдоор успоставља везу са својим сервером за команду и контролу (Ц2) док истовремено повезује заражени уређај са ТОР мрежом. Ова веза омогућава актеру претње да одржи комуникацију са компромитованим системом док остане анониман.
ТорНет је способан да прима и извршава произвољне .НЕТ склопове директно у меморији, значајно проширујући површину напада. Преузимањем и покретањем додатних небезбедних корисних података са Ц2 сервера, нападачи могу да ескалирају своје активности, што доводи до даљих упада у систем и потенцијалних повреда података.
TorNet Backdoor Видео
Савет: Укључите звук и гледајте видео у режиму целог екрана .
