TorNet バックドア: TOR ネットワークを悪用する脅威

ステルス機能を備えたバックドア

金銭目的のサイバー犯罪グループが、主にポーランドとドイツのユーザーをターゲットにした進行中のフィッシング キャンペーンに関連していることが判明しました。少なくとも 2024 年 7 月以降、この活動により、 Agent Tesla 、 Snake Keylogger 、および TorNet と呼ばれる別のバックドアを含む複数の悪意のあるペイロードが配布されています。TOR 匿名ネットワークを使用することから名付けられたこのバックドアにより、攻撃者は検出を回避しながら、侵害されたシステムとの秘密の通信を維持できます。

TorNetバックドアがシステムに到達する方法

この攻撃は、金融取引の確認や注文の受領書を装った偽の電子メールを利用しています。これらのメッセージは、金融機関、物流会社、製造会社になりすまし、正当なメールであるように見せかけています。受信者は、電子メール内で「.tgz」形式の圧縮された添付ファイルを見つけます。これは、セキュリティ フィルターを回避するために使用された戦術であると考えられます。

ファイルが抽出されると、よく知られている難読化ツールであるPureCrypter を展開するように設計された .NET ベースのローダーが実行されます。次に PureCrypter は TorNet バックドアの読み込みに進みますが、その前に複数のセキュリティ回避技術を実行します。これには、アンチデバッグ、アンチ仮想マシン検出、アンチマルウェアスキャンが含まれ、攻撃が従来の防御によって検出されないようにします。

TorNetバックドアが望むもの

TorNet の主な目的は、被害者のシステムへの永続的なアクセスを確立し、悪意のある活動をさらに促進することです。この足掛かりを維持するために、Windows のスケジュールされたタスクを作成し、システムが再起動したり、バッテリー残量が少なくなってもタスクが実行されるようにします。さらに、ペイロードを展開する前に、影響を受けるマシンをネットワークから切断し、インストール後にのみ接続を再確立します。このプロセスにより、クラウドベースのセキュリティ ツールが侵入を検出またはブロックするのを防ぎます。

TorNet がインストールされると、TOR ネットワークを介してコマンド アンド コントロール (C2) サーバーとの通信が確立されます。この暗号化された接続により、攻撃者はリモート コマンドを発行し、追加の .NET アセンブリをメモリ内で直接ダウンロードして実行し、攻撃対象領域を拡大してさらに侵入することができます。このアプローチはステルス性を高めるだけでなく、感染したマシンに残る痕跡を減らし、フォレンジック分析を複雑にします。

TorNetの導入がもたらす影響

組織のネットワーク内に TorNet が存在すると、セキュリティ上の懸念がいくつか生じます。TOR ネットワークを利用することで、攻撃者は匿名性をさらに高め、攻撃者の特定と追跡を大幅に困難にします。さらに、ファイルをディスクに書き込まずにメモリ内で任意のコードを実行できるため、従来の多くの検出メカニズムを回避できます。

もう一つの懸念点は、このバックドアの柔軟性です。攻撃者はいつでも新しいペイロードをプッシュできるため、感染したシステムは、データの盗難、認証情報の収集、さらには他のターゲットに対する追加の攻撃の開始など、さまざまな目的に使用される可能性があります。ステルス性、持続性、モジュール性の組み合わせにより、TorNet はサイバー犯罪者にとって手強いツールになります。

メールベースの脅威の幅広い傾向

TorNet の出現は、高度な回避技術を使用する電子メールの脅威が急増する中で起こった。最近の調査では、「隠しテキスト ソルト」への依存度が高まっていることが指摘されている。これは、HTML フォーマットを操作して電子メールのフィルタリング メカニズムを回避する手法である。視覚的に目立たない文字を電子メールのテキストに挿入することで、攻撃者はキーワード ベースの検出に依存するスパム フィルターやセキュリティ ツールを欺くことができる。

フィッシング キャンペーンが高度化するにつれて、組織は強力なセキュリティ対策を実装する必要があります。メール フィルタリング技術を強化して隠しテキスト ソルトを検出し、メッセージ コンテンツを分析して異常な HTML プロパティを検出することで、検出率を大幅に向上できます。さらに、視覚的な類似性を検出するアプローチを採用すると、正当な通信を模倣するように設計された不正なメールを識別するのに役立ちます。

TorNetや類似の脅威に対する防御の強化

TorNet が TOR ネットワークに依存していることは従来のセキュリティ ツールにとって課題となりますが、組織はリスクを軽減するために積極的な対策を講じることができます。エンドポイント検出および対応 (EDR) ソリューションを強化し、異常なネットワーク トラフィックを監視し、TOR などの匿名化サービスへのアクセスを制限することで、侵害の可能性を減らすことができます。

ユーザーの認識も防御において重要な役割を果たします。従業員は、フィッシング メール、特に予期しない添付ファイルや緊急の金融取引の要求を含むメールを認識できるようにトレーニングを受ける必要があります。行動分析、異常検出、高度な脅威インテリジェンスを組み合わせた多層セキュリティ戦略を実装することで、組織は進化するサイバー脅威に先手を打つことができます。

最後に

TorNet バックドアは、TOR を利用してステルス性と持続性を実現する、金銭目的のサイバー犯罪の懸念すべき展開を表しています。フィッシング キャンペーンを通じてシステムに埋め込まれ、回避技術を使用することで、攻撃者に悪意のある操作を実行するための秘密のチャネルを提供します。電子メールの脅威は進化し続けているため、企業も個人も警戒を怠らず、デジタル環境を新たな脅威から保護するための包括的なセキュリティ対策を採用する必要があります。