TorNet Backdoor: угроза, использующая сеть TOR

Бэкдор с возможностями скрытности

Финансово мотивированная киберпреступная группа была связана с продолжающейся фишинговой кампанией, нацеленной в первую очередь на пользователей в Польше и Германии. По крайней мере с июля 2024 года эта операция привела к распространению нескольких вредоносных полезных нагрузок, включая Agent Tesla , Snake Keylogger и еще один бэкдор, известный как TorNet. Этот бэкдор, названный так из-за использования им сети анонимности TOR, позволяет злоумышленникам поддерживать скрытую связь со скомпрометированными системами, избегая обнаружения.

Как TorNet Backdoor проникает в системы

Кампания основана на обманных электронных письмах, замаскированных под подтверждения финансовых транзакций или квитанции о заказе. Эти сообщения выдают себя за финансовые учреждения, логистические фирмы и производственные компании, чтобы казаться законными. В электронных письмах получатели находят сжатые вложения в формате «.tgz» — тактика, вероятно, используемая для обхода фильтров безопасности.

После извлечения файлы запускают загрузчик на основе .NET, разработанный для развертывания PureCrypter , известного инструмента обфускации. Затем PureCrypter приступает к загрузке бэкдора TorNet, но не раньше, чем применит несколько методов обхода безопасности. К ним относятся антиотладка, обнаружение виртуальных машин и сканирование на наличие вредоносного ПО, что гарантирует, что атака останется незамеченной традиционными средствами защиты.

Чего хочет бэкдор TorNet

Основная цель TorNet — установить постоянный доступ к системам-жертвам и способствовать дальнейшей вредоносной активности. Чтобы сохранить эту позицию, он создает запланированную задачу Windows, гарантируя ее выполнение даже в случае перезагрузки системы или низкого заряда батареи. Более того, он отключает пораженную машину от сети перед развертыванием своей полезной нагрузки, восстанавливая подключение только после установки. Этот процесс не позволяет облачным средствам безопасности обнаружить или заблокировать вторжение.

После установки TorNet устанавливает связь с сервером управления и контроля (C2) через сеть TOR. Это зашифрованное соединение позволяет злоумышленникам отдавать удаленные команды, загружать и выполнять дополнительные сборки .NET непосредственно в памяти и расширять поверхность атаки для дальнейшего взлома. Такой подход не только повышает скрытность, но и уменьшает следы, оставленные на зараженной машине, что усложняет криминалистический анализ.

Последствия развертывания TorNet

Наличие TorNet в сети организации вызывает ряд проблем безопасности. Используя сеть TOR, злоумышленники получают дополнительный уровень анонимности, что значительно затрудняет атрибуцию и отслеживание. Кроме того, возможность выполнять произвольный код в памяти без записи файлов на диск позволяет им обходить многие традиционные механизмы обнаружения.

Еще одним тревожным аспектом является гибкость этого бэкдора. Поскольку злоумышленники могут в любой момент внедрить новые полезные нагрузки, зараженные системы могут использоваться для различных целей, включая кражу данных, сбор учетных данных или даже запуск дополнительных атак против других целей. Сочетание скрытности, настойчивости и модульности делает TorNet грозным инструментом в руках киберпреступников.

Более общие тенденции угроз, распространяемых по электронной почте

Появление TorNet происходит на фоне более широкого всплеска угроз электронной почты, использующих сложные методы уклонения. Недавние исследования подчеркивают растущую зависимость от «скрытой текстовой соли», метода, который манипулирует форматированием HTML для обхода механизмов фильтрации электронной почты. Вставляя визуально незаметные символы в текст электронной почты, злоумышленники могут обмануть спам-фильтры и средства безопасности, которые полагаются на обнаружение на основе ключевых слов.

По мере того, как фишинговые кампании становятся все более продвинутыми, организациям необходимо внедрять надежные меры безопасности. Улучшение методов фильтрации электронной почты для обнаружения скрытой текстовой соли и анализа содержимого сообщений на предмет необычных свойств HTML может значительно повысить показатели обнаружения. Кроме того, принятие подхода к обнаружению визуального сходства может помочь выявить мошеннические электронные письма, разработанные для имитации законных сообщений.

Усиление защиты от TorNet и подобных угроз

Хотя зависимость TorNet от сети TOR представляет проблемы для традиционных инструментов безопасности, организации могут предпринять упреждающие шаги для снижения риска. Усиление решений обнаружения и реагирования конечных точек (EDR), мониторинг необычного сетевого трафика и ограничение доступа к анонимизирующим сервисам, таким как TOR, может снизить вероятность компрометации.

Осведомленность пользователей также играет решающую роль в защите. Сотрудники должны быть обучены распознавать фишинговые письма, особенно те, которые содержат неожиданные вложения или запросы на срочные финансовые транзакции. Внедрение многоуровневых стратегий безопасности, которые объединяют поведенческий анализ, обнаружение аномалий и расширенную разведку угроз, может помочь организациям опережать развивающиеся киберугрозы.

Заключительные мысли

TorNet Backdoor представляет собой тревожное развитие финансово мотивированной киберпреступности, использующей TOR для скрытности и настойчивости. Внедряясь в системы посредством фишинговых кампаний и применяя методы уклонения, он предоставляет злоумышленникам скрытый канал для выполнения вредоносных операций. Поскольку угрозы электронной почты продолжают развиваться, предприятия и частные лица должны сохранять бдительность и принимать комплексные меры безопасности для защиты своих цифровых сред от новых угроз.