„TorNet Backdoor“: TOR tinklo panaudojimo grėsmė

Užpakalinės durys su slaptomis galimybėmis

Finansiškai motyvuota kibernetinių nusikaltėlių grupuotė buvo susieta su besitęsiančia sukčiavimo kampanija, daugiausia skirta vartotojams Lenkijoje ir Vokietijoje. Bent jau nuo 2024 m. liepos mėn. dėl šios operacijos buvo platinami keli kenksmingi kroviniai, įskaitant „Agent Tesla“ , „Snake Keylogger“ ir kitas užpakalines duris, žinomą kaip „TorNet“. Šios užpakalinės durys, pavadintos dėl TOR anonimiškumo tinklo naudojimo, leidžia užpuolikams palaikyti diskretišką ryšį su pažeistomis sistemomis, išvengiant aptikimo.

Kaip „TorNet Backdoor“ pasiekia sistemas

Kampanija remiasi apgaulingais el. laiškais, užmaskuotais kaip finansinių operacijų patvirtinimai arba užsakymo kvitai. Šiose žinutėse apsimetinėjama finansų institucijomis, logistikos įmonėmis ir gamybos įmonėmis, kurios atrodo teisėtos. El. laiškuose gavėjai randa suglaudintus priedus „.tgz“ formatu – tokia taktika greičiausiai naudojama apeiti saugos filtrus.

Išskleisti failai vykdo .NET pagrindu sukurtą įkroviklį, skirtą įdiegti PureCrypter – gerai žinomą užmaskavimo įrankį. Tada „PureCrypter“ įkelia „TorNet“ užpakalines duris, bet ne prieš atlikdama kelis apsaugos vengimo būdus. Tai apima apsaugos nuo derinimo, antivirtualios mašinos aptikimą ir kenkėjiškų programų nuskaitymą, užtikrinantį, kad ataka liktų nepastebėta tradicinių apsaugos priemonių.

Ko nori „TorNet Backdoor“.

Pagrindinis TorNet tikslas yra sukurti nuolatinę prieigą prie aukų sistemų ir palengvinti tolesnę kenkėjišką veiklą. Kad išlaikytų šią poziciją, ji sukuria Windows suplanuotą užduotį, užtikrinančią jos vykdymą, net jei sistema paleidžiama iš naujo arba išsikrauna baterija. Be to, jis atjungia paveiktą mašiną nuo tinklo prieš įdiegdamas naudingąją apkrovą ir atkuria ryšį tik po įdiegimo. Šis procesas neleidžia debesyje pagrįstiems saugos įrankiams aptikti ar blokuoti įsibrovimo.

Įdiegęs „TorNet“ užmezga ryšį su komandų ir valdymo (C2) serveriu per TOR tinklą. Šis užšifruotas ryšys leidžia užpuolikams duoti nuotolines komandas, atsisiųsti ir vykdyti papildomas .NET rinkinius tiesiai į atmintį ir išplėsti atakos paviršių, kad būtų išvengta tolesnių kompromisų. Šis metodas ne tik padidina slaptumą, bet ir sumažina pėdsakus, likusius ant užkrėsto įrenginio, o tai apsunkina teismo ekspertizę.

„TorNet“ diegimo pasekmės

„TorNet“ buvimas organizacijos tinkle kelia keletą saugumo problemų. Naudodami TOR tinklą, užpuolikai įgyja papildomą anonimiškumo sluoksnį, todėl priskyrimas ir sekimas žymiai apsunkinami. Be to, galimybė vykdyti savavališką kodą atmintyje neįrašant failų į diską leidžia jiems apeiti daugelį tradicinių aptikimo mechanizmų.

Kitas nerimą keliantis aspektas yra šių užpakalinių durų lankstumas. Kadangi užpuolikai bet kada gali perkelti naujus naudingus krovinius, užkrėstos sistemos gali būti naudojamos įvairiems tikslams, įskaitant duomenų vagystę, kredencialų rinkimą ar net papildomų atakų prieš kitus taikinius vykdymą. Dėl slaptumo, atkaklumo ir moduliškumo „TorNet“ yra puikus įrankis kibernetinių nusikaltėlių rankose.

Platesnės el. paštu pagrįstų grėsmių tendencijos

„TorNet“ atsiranda dėl didesnio el. pašto grėsmių, naudojančių sudėtingus vengimo metodus, antplūdį. Naujausi tyrimai rodo, kad vis labiau pasitikima „paslėpto teksto sūdymu“ – metodu, kuris manipuliuoja HTML formatavimu siekiant apeiti el. pašto filtravimo mechanizmus. Į el. laiško tekstą įterpdami vizualiai nepastebimų simbolių, užpuolikai gali apgauti šiukšlių filtrus ir saugos įrankius, kurie priklauso nuo raktinių žodžių aptikimo.

Sukčiavimo kampanijoms tobulėjant, organizacijos turi įgyvendinti patikimas saugumo priemones. Patobulinus el. pašto filtravimo būdus, kad būtų galima aptikti paslėpto teksto sūdymą, ir analizuojant pranešimų turinį dėl neįprastų HTML ypatybių, aptikimo rodikliai gali žymiai padidėti. Be to, vizualinio panašumo aptikimo metodo taikymas gali padėti nustatyti apgaulingus el. laiškus, skirtus imituoti teisėtus ryšius.

Apsaugos nuo TorNet ir panašių grėsmių stiprinimas

Nors TorNet priklausomybė nuo TOR tinklo kelia iššūkių tradiciniams saugos įrankiams, organizacijos gali imtis aktyvių veiksmų, kad sumažintų riziką. Galinių taškų aptikimo ir atsako (EDR) sprendimų stiprinimas, neįprasto tinklo srauto stebėjimas ir prieigos prie anoniminių paslaugų, tokių kaip TOR, apribojimas gali sumažinti kompromiso tikimybę.

Vartotojų sąmoningumas taip pat vaidina lemiamą vaidmenį gynyboje. Darbuotojai turėtų būti išmokyti atpažinti sukčiavimo el. laiškus, ypač tuos, kuriuose yra netikėtų priedų arba prašymų atlikti skubius finansinius sandorius. Įdiegę daugiasluoksnes saugumo strategijas, kuriose derinama elgesio analizė, anomalijų aptikimas ir pažangi grėsmių informacija, gali padėti organizacijoms neatsilikti nuo besivystančių kibernetinių grėsmių.

Paskutinės mintys

„TorNet Backdoor“ yra susijęs su finansiškai motyvuotų elektroninių nusikaltimų plėtra, naudojant TOR slaptumui ir atkaklumui. Įterpdamas save į sistemas per sukčiavimo kampanijas ir naudodamas vengimo būdus, jis suteikia užpuolikams slaptą kanalą kenkėjiškoms operacijoms vykdyti. El. pašto grėsmės ir toliau vystosi, todėl įmonės ir asmenys turi išlikti budrūs ir imtis visapusiškų saugumo priemonių, kad apsaugotų savo skaitmeninę aplinką nuo naujų grėsmių.