TorNet 後門

自 2024 年 7 月以來，一個以金錢為導向的威脅行為者一直在策劃網路釣魚電子郵件活動，特別是針對波蘭和德國的用戶。這項活動導致了多種威脅的部署，包括Agent Tesla 、 Snake Keylogger以及新發現的名為 TorNet 的後門。

TorNet 的名字源自於它能夠透過 TOR 匿名網路促進攻擊者與受感染系統之間的通訊。這項活動展示了先進的逃避技術，使攻擊者能夠秘密操作，同時保持對受感染機器的持續存取。

巧妙的規避策略確保隱密入侵

威脅行為者使用的關鍵持久機制之一是在受害者裝置上安排 Windows 任務，包括在電池電量不足的情況下運行的裝置。此外，攻擊者在部署有效載荷之前會斷開受感染系統與網路的連接，之後才會重新連接。這種策略有助於繞過基於雲端的安全解決方案的偵測，從而降低早期識別威脅的可能性。

欺騙性網路釣魚電子郵件攜帶威脅性負載

攻擊始於精心製作的網路釣魚電子郵件，這些電子郵件冒充合法的金融機構或物流和製造公司。這些電子郵件通常包含虛假的匯款確認或詐欺性的訂單收據。

為了進一步避免被發現，攻擊者附加了帶有「.tgz」副檔名的壓縮檔案。這種不常見的選擇有助於文件躲過安全過濾器，從而增加收件人打開文件的機會。

多階段執行釋放 TorNet

一旦收件人提取並開啟附加的檔案，就會執行.NET 載入器。此載入器負責直接在記憶體中取得並執行 PureCrypter，為進一步的攻擊做好準備。

然後，PureCrypter 啟動了 TorNet 後門，但在此之前會進行多次安全檢查。這些措施包括反調試措施、虛擬機器偵測和其他旨在逃避分析和反威脅工具的技術。

TorNet 後門擴大了攻擊面

成功部署後，TorNet 後門與其命令和控制 (C2) 伺服器建立連接，同時將受感染的設備連結到 TOR 網路。透過這種連接，威脅行為者可以在保持匿名的同時與受感染系統保持通訊。

TorNet 能夠直接在記憶體中接收並執行任意 .NET 程式集，從而大幅擴大了攻擊面。透過從 C2 伺服器下載並運行其他不安全的有效負載，攻擊者可以升級他們的活動，導致進一步的系統入侵和潛在的資料外洩。

TorNet 後門視頻

提示：把你的声音并观察在全屏模式下的视频。