TorNet Backdoor
Ang isang aktor na banta na hinimok sa pananalapi ay nag-oorkestra ng isang phishing email campaign mula pa noong Hulyo 2024, na may partikular na pagtuon sa mga user sa Poland at Germany. Ang kampanyang ito ay humantong sa pag-deploy ng maraming banta, kabilang ang Agent Tesla , ang Snake Keylogger at isang bagong natukoy na backdoor na pinangalanang TorNet.
Kinukuha ng TorNet ang pangalan nito mula sa kakayahang pangasiwaan ang komunikasyon sa pagitan ng umaatake at ng nakompromisong sistema sa pamamagitan ng network ng anonymity ng TOR. Ang kampanya ay nagpapakita ng mga advanced na diskarte sa pag-iwas, na nagpapahintulot sa mga umaatake na palihim na gumana habang pinapanatili ang patuloy na pag-access sa mga nahawaang makina.
Talaan ng mga Nilalaman
Ang Mga Matalinong Taktika sa Pag-iwas ay Tinitiyak ang Mga Palihim na Panghihimasok
Ang isa sa mga pangunahing mekanismo ng pagtitiyaga na ginagamit ng aktor ng pagbabanta ay nagsasangkot ng pag-iskedyul ng mga gawain sa Windows sa mga device ng biktima, kabilang ang mga tumatakbo sa mahinang baterya. Bukod pa rito, dinidiskonekta ng mga umaatake ang nakompromisong system mula sa network bago i-deploy ang payload, ikinokonekta lang ito muli pagkatapos. Ang taktika na ito ay tumutulong sa pag-bypass ng pagtuklas ng mga solusyon sa seguridad na nakabatay sa cloud, na binabawasan ang posibilidad ng maagang pagkakakilanlan ng banta.
Ang Mga Mapanlinlang na Email sa Phishing ay May Nagbabantang Payload
Nagsisimula ang pag-atake sa maingat na ginawang mga email sa phishing na nagpapanggap bilang mga lehitimong institusyong pinansyal o mga kumpanya ng logistik at pagmamanupaktura. Ang mga email na ito ay kadalasang naglalaman ng mga pekeng kumpirmasyon sa paglilipat ng pera o mapanlinlang na mga resibo ng order.
Upang higit na maiwasan ang pagtuklas, ang mga umaatake ay nag-attach ng mga naka-compress na file na may extension na '.tgz'. Ang hindi pangkaraniwang pagpipiliang ito ay tumutulong sa mga file na makalagpas sa mga filter ng seguridad, na nagdaragdag ng mga pagkakataong mabuksan ng mga tatanggap ang mga ito.
Isang Multi-Stage Execution ang Nagpapalabas ng TorNet
Kapag na-extract at nabuksan ng tatanggap ang naka-attach na archive, isang .NET loader ang ipapatupad. Ang loader na ito ay responsable para sa pagkuha at pagpapatakbo ng PureCrypter nang direkta sa memorya, na nagtatakda ng yugto para sa karagdagang kompromiso.
Pagkatapos ay inilunsad ng PureCrypter ang backdoor ng TorNet, ngunit hindi bago magsagawa ng maraming pagsusuri sa seguridad. Kabilang dito ang mga hakbang laban sa pag-debug, pag-detect ng virtual machine, at iba pang mga diskarte na idinisenyo upang maiwasan ang mga tool sa pagsusuri at laban sa pagbabanta.
Pinapalawak ng TorNet Backdoor ang Attack Surface
Pagkatapos ng matagumpay na pag-deploy, ang TorNet backdoor ay nagtatatag ng koneksyon sa Command-and-Control (C2) server nito habang inili-link din ang nahawaang device sa TOR network. Ang koneksyon na ito ay nagbibigay-daan sa banta ng aktor na mapanatili ang komunikasyon sa nakompromisong sistema habang nananatiling hindi nagpapakilala.
Ang TorNet ay may kakayahang tumanggap at magsagawa ng mga di-makatwirang .NET assemblies nang direkta sa memorya, na makabuluhang nagpapalawak sa ibabaw ng pag-atake. Sa pamamagitan ng pag-download at pagpapatakbo ng mga karagdagang hindi ligtas na payload mula sa C2 server, maaaring palakihin ng mga umaatake ang kanilang mga aktibidad, na humahantong sa higit pang mga panghihimasok sa system at potensyal na mga paglabag sa data.
TorNet Backdoor Video
Tip: I- ON ang iyong tunog at panoorin ang video sa Full Screen mode .
