TorNet Bakdörr
En ekonomiskt driven hotaktör har orkestrerat en nätfiske-e-postkampanj sedan åtminstone juli 2024, med särskilt fokus på användare i Polen och Tyskland. Denna kampanj har lett till utplaceringen av flera hot, inklusive Agent Tesla , Snake Keylogger och en nyligen identifierad bakdörr vid namn TorNet.
TorNet har fått sitt namn från dess förmåga att underlätta kommunikationen mellan angriparen och det komprometterade systemet via TORs anonymitetsnätverk. Kampanjen visar upp avancerade undanflyktstekniker, vilket gör att angriparna kan arbeta smygande samtidigt som de behåller ihållande tillgång till infekterade maskiner.
Innehållsförteckning
Smart undanflyktstaktik säkerställer smygande intrång
En av de viktigaste uthållighetsmekanismerna som används av hotaktören involverar schemaläggning av Windows-uppgifter på offrets enheter, inklusive de som körs på låg batterinivå. Dessutom kopplar angriparna bort det komprometterade systemet från nätverket innan de distribuerar nyttolasten, men återansluter det först efteråt. Denna taktik hjälper till att kringgå upptäckt av molnbaserade säkerhetslösningar, vilket minskar sannolikheten för tidig identifiering av hot.
Bedrägliga nätfiske-e-postmeddelanden har hotfulla nyttolaster
Attacken börjar med noggrant utformade nätfiske-e-postmeddelanden som utger sig som legitima finansinstitutioner eller logistik- och tillverkningsföretag. Dessa e-postmeddelanden innehåller ofta falska överföringsbekräftelser eller bedrägliga orderkvitton.
För att ytterligare undvika upptäckt bifogar angriparna komprimerade filer med tillägget '.tgz'. Detta ovanliga val hjälper filerna att glida förbi säkerhetsfilter, vilket ökar chanserna att mottagarna öppnar dem.
En flerstegsexekvering släpper lös TorNet
När mottagaren extraherar och öppnar det bifogade arkivet, exekveras en .NET-lastare. Den här laddaren är ansvarig för att hämta och köra PureCrypter direkt i minnet, vilket skapar förutsättningar för ytterligare kompromisser.
PureCrypter startar sedan TorNets bakdörr, men inte innan flera säkerhetskontroller utförs. Dessa inkluderar åtgärder mot felsökning, detektering av virtuella maskiner och andra tekniker utformade för att undvika analys- och anti-hotverktyg.
TorNet-bakdörren utökar attackytan
Efter framgångsrik distribution upprättar TorNet-bakdörren en anslutning till sin Command-and-Control-server (C2) samtidigt som den länkar den infekterade enheten till TOR-nätverket. Denna anslutning gör att hotaktören kan upprätthålla kommunikationen med det komprometterade systemet samtidigt som den förblir anonym.
TorNet kan ta emot och exekvera godtyckliga .NET-sammansättningar direkt i minnet, vilket avsevärt breddar attackytan. Genom att ladda ner och köra ytterligare osäkra nyttolaster från C2-servern kan angriparna eskalera sina aktiviteter, vilket leder till ytterligare systemintrång och potentiella dataintrång.
TorNet Bakdörr Video
Tips: Slå PÅ ljudet och titta på videon i helskärmsläge .
