Cửa sau TorNet
Một tác nhân đe dọa có động cơ tài chính đã dàn dựng một chiến dịch email lừa đảo ít nhất là từ tháng 7 năm 2024, tập trung cụ thể vào người dùng ở Ba Lan và Đức. Chiến dịch này đã dẫn đến việc triển khai nhiều mối đe dọa, bao gồm Agent Tesla , Snake Keylogger và một backdoor mới được xác định có tên là TorNet.
TorNet có tên bắt nguồn từ khả năng tạo điều kiện thuận lợi cho việc giao tiếp giữa kẻ tấn công và hệ thống bị xâm phạm thông qua mạng ẩn danh TOR. Chiến dịch này giới thiệu các kỹ thuật trốn tránh tiên tiến, cho phép kẻ tấn công hoạt động một cách bí mật trong khi vẫn duy trì quyền truy cập liên tục vào các máy bị nhiễm.
Mục lục
Chiến thuật né tránh thông minh đảm bảo xâm nhập lén lút
Một trong những cơ chế duy trì quan trọng mà tác nhân đe dọa sử dụng liên quan đến việc lên lịch các tác vụ Windows trên thiết bị của nạn nhân, bao gồm cả những thiết bị chạy bằng pin yếu. Ngoài ra, kẻ tấn công ngắt kết nối hệ thống bị xâm phạm khỏi mạng trước khi triển khai tải trọng, chỉ kết nối lại sau đó. Chiến thuật này giúp bỏ qua việc phát hiện của các giải pháp bảo mật dựa trên đám mây, làm giảm khả năng xác định mối đe dọa sớm.
Email lừa đảo mang theo các nội dung đe dọa
Cuộc tấn công bắt đầu bằng các email lừa đảo được thiết kế cẩn thận, giả mạo các tổ chức tài chính hợp pháp hoặc các công ty hậu cần và sản xuất. Các email này thường chứa xác nhận chuyển tiền giả hoặc biên lai đơn hàng gian lận.
Để tránh bị phát hiện hơn nữa, kẻ tấn công đính kèm các tệp nén có phần mở rộng '.tgz'. Lựa chọn không phổ biến này giúp các tệp vượt qua bộ lọc bảo mật, tăng khả năng người nhận sẽ mở chúng.
Một quá trình thực hiện nhiều giai đoạn giải phóng TorNet
Khi người nhận giải nén và mở tệp lưu trữ đính kèm, trình tải .NET sẽ được thực thi. Trình tải này chịu trách nhiệm tìm nạp và chạy PureCrypter trực tiếp trong bộ nhớ, tạo tiền đề cho việc xâm phạm tiếp theo.
Sau đó, PureCrypter sẽ khởi chạy cửa hậu TorNet, nhưng không phải trước khi thực hiện nhiều lần kiểm tra bảo mật. Bao gồm các biện pháp chống gỡ lỗi, phát hiện máy ảo và các kỹ thuật khác được thiết kế để tránh các công cụ phân tích và chống mối đe dọa.
Cửa sau TorNet mở rộng bề mặt tấn công
Sau khi triển khai thành công, backdoor TorNet thiết lập kết nối với máy chủ Command-and-Control (C2) của nó đồng thời liên kết thiết bị bị nhiễm với mạng TOR. Kết nối này cho phép tác nhân đe dọa duy trì liên lạc với hệ thống bị xâm nhập trong khi vẫn ẩn danh.
TorNet có khả năng tiếp nhận và thực thi các tập lệnh .NET tùy ý trực tiếp trong bộ nhớ, mở rộng đáng kể bề mặt tấn công. Bằng cách tải xuống và chạy các tải trọng không an toàn bổ sung từ máy chủ C2, kẻ tấn công có thể leo thang hoạt động của chúng, dẫn đến xâm nhập hệ thống và vi phạm dữ liệu tiềm ẩn.
Cửa sau TorNet Video
Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .
