Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges

Des hackers financièrement motivés sont derrière une campagne malveillante continue visant la Pologne et l’Allemagne. Ces attaques de phishing visent à déployer plusieurs charges utiles, notamment Agent Tesla, Snake Keylogger, et un nouveau cheval de Troie appelé TorNet, qui est livré via le malware PureCrypter.  malware. 

Détecter le cheval de Troie TorNet

Une augmentation significative des campagnes de phishing, avec une augmentation de 202 % dans les messages de phishing au cours du deuxième semestre 2024, indique que ce vecteur d’attaque reste une menace persistante. L’émergence d’un cheval de Troie TorNet distribué via le malware PureCrypter dans une campagne de phishing en cours, qui utilise des techniques avancées d’évasion de détection, nécessite des réponses rapides et proactives de la part des défenseurs.  in phishing messages over the second half of 2024, indicates that this attack vector continues to be a persistent threat. The emergence of a TorNet backdoor distributed via PureCrypter malware in an ongoing phishing campaign, which uses advanced detection evasion techniques, requires swift and proactive responses from defenders. 

SOC Prime Platform offre un contenu de détection organisé, y compris des règles Sigma indépendantes des fournisseurs et des requêtes IOC générées automatiquement, pour se défendre de manière proactive contre les intrusions du cheval de Troie TorNet. Pour accéder à la pile de détection, cliquez simplement sur Explorer les Détections ci-dessous. 

Explorer les Détections

Le contenu de détection est aligné avec MITRE ATT&CK® et enrichi avec des renseignements sur les menaces exploitables et des métadonnées pertinentes, y compris les faux positifs, les recommandations de configuration d’audit, les binaires et les références médiatiques pour aider les défenseurs à rationaliser la recherche de menaces. De plus, les ingénieurs en sécurité peuvent utiliser Uncoder AI pour traduire instantanément le code de détection dans le format de langue du SIEM, EDR ou Data Lake utilisé, ainsi que pour accélérer l’analyse des IOC et leur conversion en requêtes de chasse personnalisées basées sur les IOCs du rapport correspondant de Cisco Talos. 

Analyse du cheval de Troie TorNet

Cisco Talos a récemment identifié une campagne malveillante continue qui est active depuis au moins la mi-été 2024. La campagne est orchestrée par des acteurs de la menace motivés financièrement, ciblant principalement les utilisateurs en Pologne et en Allemagne, comme indiqué par la langue des e-mails de phishing. Le malware PureCrypter utilisé dans cette campagne livre plusieurs charges utiles malveillantes, y compris Agent Tesla et Snake Keylogger, et dépose TorNet, un nouveau cheval de Troie découvert. Le nom « TorNet » reflète sa capacité offensive à permettre aux adversaires de communiquer avec la machine de la victime via le réseau TOR.

La chaîne d’infection commence par un e-mail de phishing servant de vecteur d’attaque initial. Les adversaires envoient de fausses confirmations de transfert d’argent et de faux reçus de commande. La plupart des e-mails de phishing sont rédigés en polonais et en allemand, suggérant un accent principal sur les utilisateurs de ces régions, bien que certains échantillons en anglais aient également été identifiés.

Les e-mails de phishing contiennent des pièces jointes avec une extension de fichier « .tgz », indiquant que l’attaquant a utilisé GZIP pour compresser une archive TAR du fichier malveillant. Cette tactique aide à masquer la véritable nature de la pièce jointe et à entraver l’analyse anti-malware.

En ouvrant la pièce jointe de l’email, en l’extrayant et en exécutant le chargeur .NET, il télécharge le malware PureCrypter crypté à partir d’un serveur ciblé. Le chargeur le déchiffre ensuite et l’exécute dans la mémoire système. Dans certains cas, PureCrypter déploie le cheval de Troie TorNet, qui se connecte au serveur C2 et intègre la machine compromise dans le réseau TOR. TorNet peut récupérer et exécuter des assemblages .NET arbitraires en mémoire, élargissant la surface d’attaque pour une infection ultérieure. Notamment, les pièces jointes compressées et armées contiennent un gros exécutable .NET, conçu pour soit télécharger les logiciels malveillants de l’étape suivante à partir d’un serveur de mise en scène distant, soit exécuter directement un binaire malveillant intégré en mémoire.

Le malware PureCrypter dépose le cheval de Troie TorNet après avoir d’abord créé un mutex sur la machine ciblée, libéré l’adresse IP DHCP assignée et établi en outre la persistance. Il effectue ensuite des techniques anti-analyse, déploie et exécute la charge utile, et renouvelle finalement l’adresse IP de la machine vulnérable.

PureCrypter effectue plusieurs vérifications d’évasion de détection. Par exemple, le malware détecte le débogage via la fonction « CheckRemoteDebuggerPresent », identifie les environnements de bac à sable en scannant « sbieDLL.dll » et « cuckoomon.dll », et vérifie les environnements virtuels à l’aide de requêtes WMI, recherchant des chaînes comme « VMware », « VIRTUAL », « AMI » et « Xen ». De plus, PureCrypter est également capable de modifier les paramètres de Windows Defender en exécutant des commandes PowerShell pour exclure son processus et le chemin du cheval de Troie déposé des analyses de sécurité.

Après avoir contourné les vérifications de sécurité, PureCrypter déchiffre et dépose le cheval de Troie dans le dossier temporaire de l’utilisateur avec un nom de fichier aléatoire. Il déchiffre également une autre ressource pour générer des noms de fichiers et des noms de tâches pour le Planificateur de tâches Windows. Pour établir la persistance, il ajoute le chemin du chargeur à la clé de registre Run et crée une tâche planifiée, qui reste active même sur l’alimentation par batterie. Cela garantit une exécution continue et empêche le système d’exploitation de la déprioriser lorsque l’appareil a une faible charge de batterie.

Enfin, PureCrypter dépose le cheval de Troie TorNet pour se connecter à un serveur C2 via le réseau TOR, garantissant une communication furtive. En anonymisant la connexion, cela rend la détection plus difficile pour les défenseurs. Une fois connecté, TorNet envoie des informations d’identification et permet l’exécution de code à distance en recevant des assemblées .NET arbitraires du serveur C2, élargissant considérablement la surface d’attaque.

L’utilisation de tactiques sophistiquées d’évasion de détection et la capacité de déployer des charges utiles à plusieurs niveaux tout au long de cette campagne de phishing en cours soulignent l’importance d’une vigilance constante et de la surveillance du réseau pour contrer les menaces cybernétiques évolutives. SOC Prime Platform pour la défense collective contre la cybercriminalité équipe les défenseurs d’une suite de produits pérenne pour la détection des menaces avancée, la chasse automatisée des menaces et l’ingénierie de détection pilotée par l’intelligence pour toujours garder une longueur d’avance sur les adversaires et identifier en temps opportun les intrusions malveillantes.