TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen

Finanziell motivierte Hacker stehen hinter einer laufenden bösartigen Kampagne, die Polen und Deutschland ins Visier nimmt. Diese Phishing-Angriffe zielen darauf ab, mehrere Schadprogramme bereitzustellen, darunter Agent Tesla, Snake Keylogger, und eine neuartige Hintertür mit dem Namen TorNet, die über PureCrypter Malware geliefert wird. 

TorNet-Hintertür erkennen

Ein signifikanter Anstieg von Phishing- Kampagnen, mit einer Zunahme von 202 % bei Phishing-Nachrichten in der zweiten Hälfte des Jahres 2024, zeigt, dass dieser Angriffsvektor weiterhin eine beständige Bedrohung darstellt. Das Auftreten einer TorNet-Hintertür, die über die PureCrypter-Malware in einer laufenden Phishing-Kampagne verteilt wird, bei der fortschrittliche Erkennungsausweichtechniken verwendet werden, erfordert schnelle und proaktive Reaktionen der Verteidiger. 

SOC Prime Plattform bietet kuratierte Erkennungsinhalte, einschließlich herstellerunabhängiger Sigma-Regeln und automatisch generierter IOC-Abfragen, um proaktiv gegen TorNet-Hintertür-Angriffe zu verteidigen. Um auf den Erkennungs-Stack zuzugreifen, klicken Sie einfach unten auf Erkennungen erkunden . 

Erkennungen erkunden

Die Erkennungsinhalte sind auf MITRE ATT&CK® abgestimmt und mit umsetzbarer Bedrohungsintelligenz und relevanten Metadaten angereichert, einschließlich Falsch-Positiv-Bewertungen, Prüfrekommendationen, Binärdateien und Medienreferenzen, um den Verteidigern bei der Bedrohungsforschung zu helfen. Zudem können Sicherheitsingenieure Uncoder AI nutzen, um den Erkennungscode sofort in das verwendete SIEM-, EDR- oder Data Lake-Sprachformat zu übersetzen und die IOC-Analyse sowie deren Umwandlung in benutzerdefinierte Jagdabfragen auf Basis von IOCs aus dem entsprechenden Cisco Talos-Bericht zu beschleunigen. 

Analyse der TorNet-Hintertür

Cisco Talos hat kürzlich eine laufende bösartige Kampagne identifiziert, die mindestens seit Mitte Sommer 2024 aktiv ist. Die Kampagne wird von finanziell motivierten Bedrohungsakteuren orchestriert, die hauptsächlich Benutzer in Polen und Deutschland anvisieren, wie die Sprache der Phishing-E-Mails zeigt. Die in dieser Kampagne eingesetzte PureCrypter-Malware liefert mehrere bösartige Nutzlasten, einschließlich Agent Tesla und Snake Keylogger und lässt TorNet fallen, eine neu entdeckte Hintertür. Der Name „TorNet“ spiegelt seine offensive Fähigkeit wider, es Angreifern zu ermöglichen, über das TOR-Netzwerk mit dem Opferrechner zu kommunizieren.

Die Infektionskette beginnt mit einer Phishing-E-Mail, die als erster Angriffsvektor dient. Angreifer senden betrügerische Geldtransferbestätigungen und gefälschte Bestellbelege. Die meisten Phishing-E-Mails sind auf Polnisch und Deutsch geschrieben, was auf einen primären Fokus auf Benutzer in diesen Regionen hindeutet, obwohl auch einige Proben auf Englisch identifiziert wurden.

Die Phishing-E-Mails enthalten Anhänge mit der Dateiendung „.tgz“, was darauf hindeutet, dass der Angreifer GZIP verwendet hat, um ein TAR-Archiv der bösartigen Datei zu komprimieren. Diese Taktik hilft, die wahre Natur des Anhangs zu verschleiern und die Analyse durch Anti-Malware zu erschweren.

Indem das E-Mail-Anhang geöffnet, extrahiert und der .NET-Loader ausgeführt wird, lädt es verschlüsselte PureCrypter-Malware von einem Zielserver herunter. Der Loader entschlüsselt und führt sie dann im Systemspeicher aus. In einigen Fällen setzt PureCrypter die TorNet-Hintertür ein, die sich mit dem C2-Server verbindet und den kompromittierten Rechner in das TOR-Netzwerk integriert. TorNet kann beliebige .NET-Assemblies im Speicher abrufen und ausführen, wodurch die Angriffsfläche für weitere Infektionen erweitert wird. Bemerkenswert ist, dass die komprimierten, waffenfähigen Anhänge eine große .NET-Ausführungsdatei enthalten, die darauf ausgelegt ist, entweder die nächste Malware-Stufe von einem entfernten Staging-Server herunterzuladen oder ein eingebettetes bösartiges Binärprogramm direkt im Speicher auszuführen.

Die PureCrypter-Malware lässt die TorNet-Hintertür fallen, indem sie zunächst gleich eine Mutexe auf der Zielmaschine erstellt, die zugewiesene DHCP-IP-Adresse freigibt und weiterhin Persistenz etabliert. Danach führt sie Anti-Analyse-Techniken durch, setzt die Nutzlast ein und führt sie aus und erneuert schließlich die IP-Adresse der anfälligen Maschine.

PureCrypter führt mehrere Erkennungsausweichchecks durch. Beispielsweise erkennt die Malware das Debugging über die Funktion „CheckRemoteDebuggerPresent“, identifiziert Sandbox-Umgebungen durch Scannen nach „sbieDLL.dll“ und „cuckoomon.dll“, und überprüft virtuelle Umgebungen durch WMI-Abfragen, wobei nach Zeichenfolgen wie „VMware“, „VIRTUAL“, „AMI“ und „Xen“ gesucht wird. Zusätzlich ist PureCrypter auch fähig, die Einstellungen von Windows Defender zu ändern, indem PowerShell-Befehle ausgeführt werden, um seinen Prozess und den Pfad der abgeworfenen Hintertür von Sicherheitsüberprüfungen auszuschließen.

Nachdem die Sicherheitsüberprüfungen umgangen wurden, entschlüsselt PureCrypter und lässt die Hintertür in den temporären Ordner des Benutzers mit einem zufälligen Dateinamen fallen. Es entschlüsselt auch eine andere Ressource, um Dateinamen und Aufgabennamen für den Windows-Taskplaner zu generieren. Um die Persistenz aufrechtzuerhalten, fügt es den Pfad des Loaders dem Run-Registrierungsschlüssel hinzu und erstellt eine geplante Aufgabe, die auch bei Batteriebetrieb aktiv bleibt. Dadurch wird die kontinuierliche Ausführung sichergestellt und verhindert, dass das Betriebssystem sie vernachlässigt, wenn das Gerät einen niedrigen Batteriestand hat.

Schließlich lässt PureCrypter die TorNet-Hintertür fallen, um sich über das TOR-Netzwerk mit einem C2-Server zu verbinden, was für eine verdeckte Kommunikation sorgt. Durch die Anonymisierung der Verbindung wird die Erkennung für Verteidiger erschwert. Sobald die Verbindung hergestellt ist, sendet TorNet Identifikationsinformationen und ermöglicht die Ausführung von Remote-Code, indem es beliebige .NET-Assemblies vom C2-Server empfängt, was die Angriffsfläche erheblich erweitert.

Der Einsatz hochentwickelter Erkennungsausweichtechniken und die Fähigkeit, mehrstufige Nutzlasten in dieser laufenden Phishing-Kampagne bereitzustellen, unterstreichen die Bedeutung von anhaltender Wachsamkeit und Netzwerküberwachung zur Bekämpfung sich entwickelnder Cyber-Bedrohungen. SOC Prime Plattform für kollektive Cyberabwehr stattet Verteidiger mit einer zukunftssicheren Produktpalette für fortschrittliche Bedrohungserkennung, automatisierte Bedrohungssuche und intelligent gesteuerte Erkennungstechnik aus, um Angreifern immer einen Schritt voraus zu sein und bösartige Eindringlinge rechtzeitig zu identifizieren.