TorNet 后门

翻译为：

自 2024 年 7 月以来，一个以经济利益为目的的威胁行为者一直在策划网络钓鱼电子邮件活动，重点针对波兰和德国的用户。该活动导致部署了多种威胁，包括Agent Tesla 、 Snake Keylogger和新发现的名为 TorNet 的后门。

TorNet 的名称源于其通过 TOR 匿名网络促进攻击者与受感染系统之间通信的能力。该活动展示了先进的规避技术，使攻击者能够秘密行动，同时保持对受感染机器的持续访问。

威胁行为者使用的关键持久性机制之一是在受害者设备上安排 Windows 任务，包括那些在电池电量不足的情况下运行的设备。此外，攻击者在部署有效载荷之前会断开受感染系统与网络的连接，之后再重新连接。这种策略有助于绕过基于云的安全解决方案的检测，从而降低早期识别威胁的可能性。

攻击始于精心制作的网络钓鱼电子邮件，这些电子邮件冒充合法的金融机构或物流和制造公司。这些电子邮件通常包含虚假的汇款确认或欺诈性订单收据。

为了进一步避免被发现，攻击者会附加带有“.tgz”扩展名的压缩文件。这种不常见的选择有助于文件躲过安全过滤器，从而增加收件人打开它们的机会。

一旦收件人提取并打开附加的存档，就会执行 .NET 加载程序。此加载程序负责直接在内存中获取和运行 PureCrypter，为进一步的攻击做好准备。

随后，PureCrypter 会启动 TorNet 后门，但在此之前会进行多项安全检查。这些检查包括反调试措施、虚拟机检测和其他旨在逃避分析和反威胁工具的技术。

成功部署后，TorNet 后门会与其命令和控制 (C2) 服务器建立连接，同时将受感染的设备链接到 TOR 网络。此连接允许威胁行为者在保持匿名的同时与受感染系统保持通信。

TorNet 能够直接在内存中接收和执行任意 .NET 程序集，从而大大扩大攻击面。通过从 C2 服务器下载并运行其他不安全的有效负载，攻击者可以升级其活动，从而导致进一步的系统入侵和潜在的数据泄露。

TorNet 后门视频

提示：把你的声音并观察在全屏模式下的视频。