TorNet バックドア
金銭目的の脅威アクターは、少なくとも2024年7月から、特にポーランドとドイツのユーザーをターゲットにしたフィッシングメールキャンペーンを組織してきました。このキャンペーンにより、Agent Tesla 、 Snake Keylogger 、新たに特定されたTorNetというバックドアなど、複数の脅威が展開されました。
TorNet の名前は、TOR 匿名ネットワークを介して攻撃者と侵害されたシステム間の通信を容易にする機能に由来しています。このキャンペーンでは、高度な回避テクニックが披露され、攻撃者は感染したマシンへの継続的なアクセスを維持しながら、ステルス的に活動することができます。
目次
巧妙な回避戦術でステルス侵入を実現
脅威アクターが使用する主要な持続メカニズムの 1 つは、被害者のデバイス (低バッテリー状態で実行されているデバイスを含む) で Windows タスクをスケジュールすることです。さらに、攻撃者はペイロードを展開する前に侵害されたシステムをネットワークから切断し、展開後にのみ再接続します。この戦術は、クラウドベースのセキュリティ ソリューションによる検出を回避し、脅威を早期に特定できる可能性を減らします。
欺瞞的なフィッシングメールには脅迫的な内容が含まれている
攻撃は、正当な金融機関や物流・製造会社を装った、巧妙に作成されたフィッシング メールから始まります。これらのメールには、偽の送金確認書や不正な注文領収書が含まれていることがよくあります。
さらに検出を回避するために、攻撃者は「.tgz」拡張子の圧縮ファイルを添付します。この珍しい選択により、ファイルがセキュリティ フィルターをすり抜け、受信者がファイルを開く可能性が高くなります。
多段階の実行によりTorNetが解放される
受信者が添付されたアーカイブを解凍して開くと、.NET ローダーが実行されます。このローダーは PureCrypter をメモリ内で直接取得して実行し、さらなる侵害の準備を整えます。
PureCrypter はその後、複数のセキュリティ チェックを実行してから TorNet バックドアを起動します。これには、デバッグ対策、仮想マシン検出、および分析や脅威対策ツールを回避するように設計されたその他の手法が含まれます。
TorNetバックドアが攻撃対象領域を拡大
TorNet バックドアは、正常に展開されると、コマンド アンド コントロール (C2) サーバーとの接続を確立し、感染したデバイスを TOR ネットワークにリンクします。この接続により、脅威の攻撃者は匿名のまま、侵害されたシステムとの通信を維持できます。
TorNet は、任意の .NET アセンブリをメモリ内で直接受信して実行できるため、攻撃対象領域が大幅に広がります。C2 サーバーから追加の安全でないペイロードをダウンロードして実行することで、攻撃者は活動をエスカレートし、さらなるシステム侵入や潜在的なデータ侵害につながる可能性があります。
TorNet バックドアビデオ
ヒント:サウンドをオンにして、フルスクリーンモードでビデオを視聴します。
