TorNet-Hintertür

Von Mezo in Malware, Hintertür-Viren, Trojaner

Übersetzen Sie in:

Ein finanziell motivierter Bedrohungsakteur orchestriert seit mindestens Juli 2024 eine Phishing-E-Mail-Kampagne, die sich insbesondere auf Benutzer in Polen und Deutschland konzentriert. Diese Kampagne hat zur Bereitstellung mehrerer Bedrohungen geführt, darunter Agent Tesla , Snake Keylogger und eine neu identifizierte Hintertür namens TorNet.

Der Name TorNet leitet sich von seiner Fähigkeit ab, die Kommunikation zwischen dem Angreifer und dem infizierten System über das Anonymitätsnetzwerk TOR zu ermöglichen. Die Kampagne zeigt fortschrittliche Ausweichtechniken, die es den Angreifern ermöglichen, heimlich vorzugehen und gleichzeitig dauerhaften Zugriff auf infizierte Rechner zu behalten.

Inhaltsverzeichnis

Clevere Ausweichtaktiken sorgen für heimliches Eindringen

Einer der wichtigsten Persistenzmechanismen, die der Bedrohungsakteur verwendet, besteht darin, Windows-Aufgaben auf Geräten der Opfer zu planen, einschließlich solcher, die mit schwacher Batterie laufen. Darüber hinaus trennen die Angreifer das kompromittierte System vom Netzwerk, bevor sie die Nutzlast bereitstellen, und stellen die Verbindung erst danach wieder her. Mit dieser Taktik können Cloud-basierte Sicherheitslösungen die Erkennung umgehen und verringern so die Wahrscheinlichkeit einer frühzeitigen Erkennung der Bedrohung.

Betrügerische Phishing-E-Mails enthalten bedrohliche Payloads

Der Angriff beginnt mit sorgfältig gestalteten Phishing-E-Mails, die sich als legitime Finanzinstitute oder Logistik- und Fertigungsunternehmen ausgeben. Diese E-Mails enthalten oft gefälschte Überweisungsbestätigungen oder betrügerische Bestellbelege.

Um eine Erkennung noch weiter zu vermeiden, hängen die Angreifer komprimierte Dateien mit der Erweiterung „.tgz“ an. Diese ungewöhnliche Wahl hilft den Dateien, Sicherheitsfilter zu umgehen, und erhöht die Wahrscheinlichkeit, dass die Empfänger sie öffnen.

Eine mehrstufige Ausführung entfesselt TorNet

Sobald der Empfänger das angehängte Archiv extrahiert und öffnet, wird ein .NET-Loader ausgeführt. Dieser Loader ist dafür verantwortlich, PureCrypter direkt im Speicher abzurufen und auszuführen, was die Grundlage für weitere Kompromittierungen schafft.

Anschließend startet PureCrypter die TorNet-Hintertür, führt jedoch zuvor mehrere Sicherheitsprüfungen durch. Dazu gehören Anti-Debugging-Maßnahmen, Erkennung virtueller Maschinen und andere Techniken, die darauf ausgelegt sind, Analyse- und Anti-Bedrohungstools zu umgehen.

Die TorNet-Hintertür erweitert die Angriffsfläche

Nach erfolgreicher Bereitstellung stellt die TorNet-Hintertür eine Verbindung mit ihrem Command-and-Control-Server (C2) her und verbindet gleichzeitig das infizierte Gerät mit dem TOR-Netzwerk. Diese Verbindung ermöglicht es dem Bedrohungsakteur, die Kommunikation mit dem kompromittierten System aufrechtzuerhalten und gleichzeitig anonym zu bleiben.

TorNet kann beliebige .NET-Assemblys direkt im Speicher empfangen und ausführen, was die Angriffsfläche erheblich vergrößert. Durch das Herunterladen und Ausführen zusätzlicher unsicherer Payloads vom C2-Server können die Angreifer ihre Aktivitäten ausweiten, was zu weiteren Systemeinbrüchen und potenziellen Datenlecks führen kann.