แบ็คดอร์ TorNet
ผู้ก่อภัยคุกคามที่มุ่งหวังผลกำไรได้วางแผนแคมเปญอีเมลฟิชชิ่งมาตั้งแต่เดือนกรกฎาคม 2024 โดยเน้นไปที่ผู้ใช้ในโปแลนด์และเยอรมนีโดยเฉพาะ แคมเปญนี้ส่งผลให้มีการใช้งานภัยคุกคามหลายรายการ รวมถึง Agent Tesla , Snake Keylogger และแบ็คดอร์ที่เพิ่งระบุชื่อใหม่ว่า TorNet
TorNet ได้ชื่อมาจากความสามารถในการอำนวยความสะดวกในการสื่อสารระหว่างผู้โจมตีและระบบที่ถูกบุกรุกผ่านเครือข่ายนิรนาม TOR แคมเปญนี้แสดงให้เห็นถึงเทคนิคการหลบเลี่ยงขั้นสูง ช่วยให้ผู้โจมตีสามารถดำเนินการอย่างลับๆ ในขณะที่ยังคงสามารถเข้าถึงเครื่องที่ติดไวรัสได้อย่างต่อเนื่อง
สารบัญ
กลยุทธ์หลบเลี่ยงอันชาญฉลาดช่วยให้มั่นใจได้ว่าจะมีการบุกรุกอย่างแอบแฝง
กลไกการคงอยู่ที่สำคัญอย่างหนึ่งที่ผู้ก่อภัยคุกคามใช้เกี่ยวข้องกับการกำหนดเวลาการทำงานของ Windows บนอุปกรณ์ของเหยื่อ รวมถึงอุปกรณ์ที่ทำงานด้วยแบตเตอรี่ต่ำ นอกจากนี้ ผู้โจมตีจะตัดการเชื่อมต่อระบบที่ถูกบุกรุกออกจากเครือข่ายก่อนที่จะติดตั้งเพย์โหลด และเชื่อมต่อใหม่อีกครั้งในภายหลังเท่านั้น กลวิธีนี้ช่วยหลีกเลี่ยงการตรวจจับโดยโซลูชันความปลอดภัยบนคลาวด์ ซึ่งช่วยลดโอกาสในการระบุภัยคุกคามในระยะเริ่มต้น
อีเมลฟิชชิ่งที่หลอกลวงมีเนื้อหาคุกคาม
การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ออกแบบมาอย่างพิถีพิถันโดยแอบอ้างว่าเป็นสถาบันการเงินหรือบริษัทโลจิสติกส์และการผลิตที่ถูกกฎหมาย อีเมลเหล่านี้มักมีการยืนยันการโอนเงินปลอมหรือใบเสร็จรับเงินการสั่งซื้อที่หลอกลวง
เพื่อหลีกเลี่ยงการตรวจจับ ผู้โจมตีจะแนบไฟล์บีบอัดที่มีนามสกุล '.tgz' การเลือกที่ไม่ค่อยพบเห็นนี้จะช่วยให้ไฟล์สามารถผ่านตัวกรองความปลอดภัยได้ ทำให้มีโอกาสที่ผู้รับจะเปิดไฟล์มากขึ้น
การดำเนินการหลายขั้นตอนปลดปล่อย TorNet
เมื่อผู้รับแยกและเปิดไฟล์แนบแล้ว ตัวโหลด .NET จะถูกดำเนินการ ตัวโหลดนี้รับผิดชอบในการดึงและเรียกใช้ PureCrypter โดยตรงในหน่วยความจำ ซึ่งเป็นการจัดเตรียมขั้นตอนสำหรับการประนีประนอมเพิ่มเติม
จากนั้น PureCrypter จะเปิดใช้แบ็คดอร์ TorNet แต่ก่อนอื่นจะทำการตรวจสอบความปลอดภัยหลายๆ ครั้ง ซึ่งรวมถึงมาตรการป้องกันการดีบัก การตรวจจับเครื่องเสมือน และเทคนิคอื่นๆ ที่ออกแบบมาเพื่อหลบเลี่ยงการวิเคราะห์และเครื่องมือป้องกันภัยคุกคาม
TorNet Backdoor ขยายพื้นที่การโจมตี
หลังจากติดตั้งสำเร็จแล้ว แบ็คดอร์ TorNet จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) พร้อมทั้งเชื่อมต่ออุปกรณ์ที่ติดเชื้อเข้ากับเครือข่าย TOR การเชื่อมต่อนี้ทำให้ผู้ก่อภัยคุกคามสามารถติดต่อสื่อสารกับระบบที่ถูกบุกรุกได้โดยไม่เปิดเผยตัวตน
TorNet สามารถรับและดำเนินการแอสเซมบลี .NET ที่ต้องการได้โดยตรงในหน่วยความจำ ทำให้พื้นที่การโจมตีขยายกว้างขึ้นอย่างมาก โดยการดาวน์โหลดและเรียกใช้เพย์โหลดที่ไม่ปลอดภัยเพิ่มเติมจากเซิร์ฟเวอร์ C2 ผู้โจมตีสามารถยกระดับกิจกรรมของตนได้ ส่งผลให้ระบบถูกบุกรุกและเกิดการละเมิดข้อมูลมากขึ้น
แบ็คดอร์ TorNet วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ
