Бекдор TorNet
Принаймні з липня 2024 року організатор фішингової електронної пошти, зосереджений на користувачах у Польщі та Німеччині, займався фінансовою діяльністю. Ця кампанія призвела до розгортання багатьох загроз, зокрема Agent Tesla , Snake Keylogger і нещодавно виявлений бекдор під назвою TorNet.
Свою назву TorNet отримав завдяки своїй здатності сприяти спілкуванню між зловмисником і скомпрометованою системою через анонімну мережу TOR. Кампанія демонструє передові методи ухилення, що дозволяє зловмисникам діяти непомітно, зберігаючи постійний доступ до заражених машин.
Зміст
Розумна тактика ухилення забезпечує приховані вторгнення
Один із ключових механізмів збереження, який використовує зловмисник, передбачає планування завдань Windows на пристроях-жертвах, у тому числі тих, що працюють від низького заряду батареї. Крім того, зловмисники від’єднують скомпрометовану систему від мережі перед розгортанням корисного навантаження, а лише після цього повторно підключають її. Ця тактика допомагає обійти виявлення хмарними рішеннями безпеки, зменшуючи ймовірність раннього виявлення загрози.
Оманливі фішингові електронні листи несуть загрозливі корисні дані
Атака починається з ретельно розроблених фішингових електронних листів, які видають себе за законні фінансові установи або логістичні та виробничі компанії. Ці електронні листи часто містять фальшиві підтвердження грошових переказів або фальшиві квитанції про замовлення.
Щоб уникнути виявлення, зловмисники додають стислі файли з розширенням .tgz. Цей незвичайний вибір допомагає файлам пройти через фільтри безпеки, збільшуючи ймовірність того, що одержувачі відкриють їх.
Багатоетапне виконання відкриває TorNet
Коли одержувач розпаковує та відкриває вкладений архів, виконується завантажувач .NET. Цей завантажувач відповідає за отримання та запуск PureCrypter безпосередньо в пам’яті, готуючи основу для подальшого компромісу.
Потім PureCrypter запускає бекдор TorNet, але не раніше, ніж проводить численні перевірки безпеки. До них належать засоби захисту від помилок, виявлення віртуальних машин та інші методи, призначені для ухилення від аналізу та інструментів захисту від загроз.
Бекдор TorNet розширює зону атаки
Після успішного розгортання бекдор TorNet встановлює з’єднання зі своїм сервером командування та керування (C2), а також підключає заражений пристрій до мережі TOR. Це з’єднання дозволяє зловмиснику підтримувати зв’язок із скомпрометованою системою, залишаючись анонімним.
TorNet здатний отримувати та виконувати довільні збірки .NET безпосередньо в пам’яті, значно розширюючи поверхню атаки. Завантажуючи та запускаючи додаткові небезпечні корисні навантаження з сервера C2, зловмисники можуть посилити свою діяльність, що призведе до подальших вторгнень у систему та потенційних порушень даних.
Бекдор TorNet Відео
Порада. Увімкніть звук і дивіться відео в повноекранному режимі .
