TorNet Arka Kapısı
Finansal olarak yönlendirilen bir tehdit aktörü, en azından Temmuz 2024'ten beri, özellikle Polonya ve Almanya'daki kullanıcılara odaklanarak bir kimlik avı e-posta kampanyası düzenliyor. Bu kampanya, Agent Tesla , Snake Keylogger ve TorNet adlı yeni tanımlanmış bir arka kapı da dahil olmak üzere birden fazla tehdidin konuşlandırılmasına yol açtı.
TorNet, adını TOR anonimlik ağı aracılığıyla saldırgan ile tehlikeye atılan sistem arasındaki iletişimi kolaylaştırma yeteneğinden alır. Kampanya, saldırganların enfekte olmuş makinelere sürekli erişimi korurken gizlice çalışmasına olanak tanıyan gelişmiş kaçınma tekniklerini sergiler.
İçindekiler
Akıllı Kaçınma Taktikleri Gizli Tecavüzleri Sağlar
Tehdit aktörü tarafından kullanılan temel kalıcılık mekanizmalarından biri, düşük pille çalışanlar da dahil olmak üzere kurban cihazlarda Windows görevlerinin planlanmasını içerir. Ek olarak, saldırganlar yükü dağıtmadan önce tehlikeye atılan sistemi ağdan ayırır ve yalnızca daha sonra yeniden bağlar. Bu taktik, bulut tabanlı güvenlik çözümleri tarafından tespit edilmeyi atlatmaya yardımcı olarak erken tehdit tanımlama olasılığını azaltır.
Aldatıcı Kimlik Avı E-postaları Tehdit Edici Yükler Taşıyor
Saldırı, meşru finansal kurumlar veya lojistik ve üretim şirketleri gibi görünen dikkatlice hazırlanmış kimlik avı e-postalarıyla başlar. Bu e-postalar genellikle sahte para transferi onayları veya hileli sipariş makbuzları içerir.
Saldırganlar, tespit edilmekten daha da kaçınmak için sıkıştırılmış dosyaları '.tgz' uzantısıyla ekler. Bu alışılmadık seçim, dosyaların güvenlik filtrelerinden geçmesine yardımcı olur ve alıcıların bunları açma şansını artırır.
Çok Aşamalı Bir Uygulama TorNet’i Serbest Bırakıyor
Alıcı ekteki arşivi çıkarıp açtığında, bir .NET yükleyicisi yürütülür. Bu yükleyici, PureCrypter'ı doğrudan bellekte alıp çalıştırmaktan sorumludur ve daha fazla uzlaşma için ortamı hazırlar.
PureCrypter daha sonra TorNet arka kapısını başlatır, ancak birden fazla güvenlik kontrolü yapmadan önce değil. Bunlara hata ayıklama önlemleri, sanal makine algılama ve analizden ve tehdit önleme araçlarından kaçınmak için tasarlanmış diğer teknikler dahildir.
TorNet Arka Kapısı Saldırı Yüzeyini Genişletiyor
Başarılı bir şekilde dağıtıldıktan sonra, TorNet arka kapısı, enfekte cihazı TOR ağına bağlarken Komuta ve Kontrol (C2) sunucusuyla bir bağlantı kurar. Bu bağlantı, tehdit aktörünün anonim kalırken tehlikeye atılmış sistemle iletişimi sürdürmesini sağlar.
TorNet, doğrudan bellekte keyfi .NET derlemelerini alıp yürütme yeteneğine sahiptir ve bu da saldırı yüzeyini önemli ölçüde genişletir. Saldırganlar, C2 sunucusundan ek güvenli olmayan yükler indirip çalıştırarak etkinliklerini artırabilir ve bu da daha fazla sistem ihlaline ve potansiyel veri ihlallerine yol açabilir.
TorNet Arka Kapısı Video
İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .
