Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Indice:
Hacker con motivazioni finanziarie sono dietro una campagna malevola in corso che prende di mira Polonia e Germania. Questi attacchi di phishing mirano a distribuire vari payload, tra cui Agent Tesla, Snake Keylogger, e una nuova backdoor chiamata TorNet, che viene distribuita tramite malware PureCrypter malware.
Rileva Backdoor TorNet
Un aumento significativo nelle campagne di phishing , con un aumento del 202% nei messaggi di phishing nella seconda metà del 2024, indica che questo vettore di attacco continua ad essere una minaccia persistente. L’emergere di una backdoor TorNet distribuita tramite malware PureCrypter in una campagna di phishing in corso, che utilizza tecniche avanzate di evasione del rilevamento, richiede risposte rapide e proattive dai difensori.
Piattaforma SOC Prime offre contenuti di rilevamento curati, inclusi regole Sigma indipendenti dal fornitore e query IOC generate automaticamente, per difendere proattivamente contro le intrusioni della backdoor TorNet. Per accedere allo stack di rilevamento, clicca semplicemente su Esplora Rilevamenti qui sotto.
Il contenuto di rilevamento è allineato con MITRE ATT&CK® e arricchito con intelligence sulle minacce attuabile e metadati rilevanti, inclusi falsi positivi, raccomandazioni sulla configurazione degli audit, binari e riferimenti mediatici per aiutare i difensori a ottimizzare la ricerca delle minacce. Inoltre, gli ingegneri della sicurezza possono utilizzare Uncoder AI per tradurre istantaneamente il codice di rilevamento nel formato linguistico SIEM, EDR, o Data Lake in uso, così come accelerare il parsing degli IOC e la loro conversione in query di caccia personalizzate basate su IOC dal corrispondente rapporto di Cisco Talos.
Analisi della Backdoor TorNet
Cisco Talos ha recentemente identificato una campagna maliziosa in corso che è attiva almeno dalla metà dell’estate 2024. La campagna è orchestrata da attori minacciosi con motivazioni finanziarie, prendendo di mira principalmente utenti in Polonia e Germania, come indicato dalla lingua degli email di phishing. Il malware PureCrypter utilizzato in questa campagna distribuisce vari payload nefasti, inclusi Agent Tesla e Snake Keylogger, e distribuisce TorNet, una nuova backdoor scoperta. Il nome “TorNet” riflette la sua capacità offensiva di consentire agli avversari di comunicare con la macchina della vittima attraverso la rete TOR.
La catena di infezione inizia con un’email di phishing che serve da vettore di attacco iniziale. Gli avversari inviano conferme fraudolente di trasferimenti di denaro e ricevute di ordini fasulli. La maggior parte delle email di phishing sono scritte in polacco e tedesco, suggerendo un focus principale sugli utenti in quelle regioni, anche se sono stati identificati alcuni campioni in inglese.
Le email di phishing contengono allegati con un’estensione di file “.tgz”, indicando che l’attaccante ha usato GZIP per comprimere un archivio TAR del file malevolo. Questa tattica aiuta a oscurare la vera natura dell’allegato e ostacolare l’analisi anti-malware.
Aprendo l’allegato email, estraendolo e avviando il loader .NET, si scarica il malware PureCrypter crittografato da un server mirato. Il loader quindi lo decritta e lo esegue nella memoria di sistema. In alcuni casi, PureCrypter distribuisce la backdoor TorNet, che si connette al server C2 e integra la macchina compromessa nella rete TOR. TorNet può recuperare ed eseguire assembly .NET arbitrari in memoria, ampliando così la superficie di attacco per ulteriori infezioni. In modo notevole, gli allegati compressi e armati contengono un grosso eseguibile .NET, progettato per scaricare il malware di fase successiva da un server di staging remoto o eseguire direttamente un binario malevolo incorporato in memoria.
Il malware PureCrypter distribuisce la backdoor TorNet creando prima un mutex sulla macchina mirata, rilasciando l’indirizzo IP DHCP assegnato e stabilendo ulteriormente la persistenza. Poi esegue tecniche anti-analisi, dispiega ed esegue il payload, e infine rinnova l’indirizzo IP della macchina vulnerabile.
PureCrypter effettua diversi controlli di evasione del rilevamento. Ad esempio, il malware rileva il debugging tramite la funzione “CheckRemoteDebuggerPresent”, identifica gli ambienti di sandbox scansionando per “sbieDLL.dll” e “cuckoomon.dll”, e controlla gli ambienti virtuali usando query WMI, cercando stringhe come “VMware”, “VIRTUAL”, “AMI” e “Xen”. Inoltre, PureCrypter è anche in grado di alterare le impostazioni di Windows Defender eseguendo comandi PowerShell per escludere il suo processo e il percorso della backdoor distribuita dalle scansioni di sicurezza.
Dopo aver superato i controlli di sicurezza, PureCrypter decritta e lascia cadere la backdoor nella cartella temporanea dell’utente con un nome file casuale. Decritta anche un’altra risorsa per generare nomi di file e nomi di attività per il Task Scheduler di Windows. Per stabilire la persistenza, aggiunge il percorso del loader alla chiave di registro Run e crea un’attività programmata, che rimane attiva anche con l’alimentazione a batteria. Ciò assicura l’esecuzione continua e impedisce al sistema operativo di de-priorizzarlo quando il dispositivo ha poca carica.
Infine, PureCrypter lascia cadere la backdoor TorNet per connettersi a un server C2 tramite la rete TOR, garantendo una comunicazione furtiva. Anonimizzando la connessione, rende più difficile il rilevamento per i difensori. Una volta connesso, TorNet invia informazioni identificative e abilita l’esecuzione remota del codice ricevendo assembly .NET arbitrari dal server C2, ampliando significativamente la superficie di attacco.
L’uso di sofisticate tattiche di evasione del rilevamento e la capacità di distribuire payload multi-fase in tutta questa campagna di phishing in corso sottolinea l’importanza di una vigilanza continua e del monitoraggio della rete per contrastare l’evoluzione delle minacce informatiche. Piattaforma SOC Prime per la difesa informatica collettiva fornisce ai difensori una suite di prodotti a prova di futuro per il rilevamento avanzato delle minacce, la caccia automatizzata alle minacce e l’ingegneria del rilevamento basata sull’intelligence per essere sempre un passo avanti agli avversari e identificare tempestivamente intrusioni malevole.
