TorNetバックドア検出：進行中のフィッシングメールキャンペーンがPureCrypterマルウェアを使用し他のペイロードを展開

金銭的動機を持つハッカーが、ポーランドとドイツを標的とした進行中の悪意のあるキャンペーンの背後にいます。これらのフィッシング攻撃は、複数のペイロードを展開することを目的としており、その中には Agent Tesla, Snake Keylogger、新しいバックドアであるTorNetが含まれており、これは PureCrypter マルウェア経由で配信されます。

TorNetバックドアの検出

著しい増加 フィッシング キャンペーンが行われており、 2024年後半にフィッシングメッセージが202%増加したこと が示すように、この攻撃ベクターは依然として持続的な脅威です。PureCrypterマルウェアを介して配布されるTorNetバックドアの出現は、進行中のフィッシングキャンペーンの一部であり、高度な検出回避技術を使用しています。これに対して、防御者は迅速かつ積極的に対応する必要があります。

SOC Prime Platform は、TorNetバックドアの侵入を防ぐために、ベンダーに依存しないSigmaルールや自動生成されたIOCクエリを含む厳選された検出コンテンツを提供します。検出スタックにアクセスするには、単に 検出を探索 をクリックしてください。

検出を探索

検出コンテンツは MITRE ATT&CK® と整合しており、誤検知、監査設定の推奨事項、バイナリ、メディア参照などを含む実用的な脅威インテリジェンスと関連メタデータで強化されており、防御者が脅威調査をスムーズに行うのを支援します。さらに、セキュリティエンジニアは Uncoder AI を使用して、検出コードを使用しているSIEM、EDR、またはデータレイクの言語フォーマットに即座に翻訳し、IOCの解析を加速して、対応するCisco Talosレポートに基づいてカスタムのハンティングクエリに変換することができます。 IOCs from the corresponding Cisco Talos report. 

TorNetバックドアの分析

Cisco Talos は、少なくとも2024年半ばから活動している進行中の悪意のあるキャンペーンを最近確認しました。キャンペーンは主にポーランドとドイツのユーザーを狙っており、フィッシングメールの言語からも伺えます。このキャンペーンで使用されているPureCrypterマルウェアは、複数の悪意のあるペイロードを配信し、中でも新たに発見されたバックドアであるTorNetをドロップします。「TorNet」という名前は、その攻撃能力を反映しており、TORネットワークを介して被害者のマシンと通信することを可能にします。 Agent Tesla とSnake Keyloggerを含む

感染チェーンは、フィッシングメールが初期の攻撃ベクターとして作用するところから始まります。敵対者は偽の送金確認書や偽の注文書を送信します。ほとんどのフィッシングメールはポーランド語とドイツ語で書かれており、これらの地域のユーザーに焦点が当てられていることを示唆していますが、英語のサンプルも確認されています。

フィッシングメールには「.tgz」ファイル拡張子の添付ファイルが含まれており、攻撃者が悪意のあるファイルのTARアーカイブをGZIPで圧縮していることを示しています。この手法は、添付ファイルの真の性質を隠し、アンチマルウェアの分析を妨げます。

メールの添付ファイルを開封し解凍、.NETローダーを実行すると、ターゲットサーバーから暗号化されたPureCrypterマルウェアがダウンロードされます。ローダーはそれを復号し、システムメモリで実行します。場合によっては、PureCrypterがTorNetバックドアを展開し、C2サーバーに接続し、侵害されたマシンをTORネットワークに統合します。TorNetは、メモリ内に任意の.NETアセンブリを取得して実行することができ、さらに感染の攻撃面を拡大します。特に、圧縮された武器化された添付ファイルには、大きな.NET実行可能ファイルが含まれており、リモートスタッジングサーバーから次の段階のマルウェアをダウンロードまたはメモリに埋め込まれた悪意のあるバイナリを直接実行するように設計されています。

PureCrypterマルウェアは、対象のマシン上で最初にミューテックスを作成し、割り当てられたDHCP IPアドレスをリリースした後、TorNetバックドアをドロップして永続性を確立します。次に、解析対策を実行し、ペイロードを展開および実行し、最終的には脆弱なマシンのIPアドレスを再取得します。

PureCrypterは、複数の検出回避チェックを行います。例えば、「CheckRemoteDebuggerPresent」関数を介してデバッグを検出し、「sbieDLL.dll」や「cuckoomon.dll」をスキャンすることでサンドボックス環境を特定し、WMIクエリを使用して「VMware」、「VIRTUAL」、「AMI」、「Xen」などの文字列を検索することで仮想環境を確認します。さらに、PureCrypterはPowerShellコマンドを実行して、セキュリティスキャンからそのプロセスとドロップされたバックドアのパスを除外することにより、Windows Defenderの設定を変更することが可能です。

セキュリティチェックを回避した後、PureCrypterはバックドアをユーザーの一時フォルダにランダムなファイル名で復号してドロップします。また、Windowsタスクスケジューラ用のファイル名とタスク名を生成するための別のリソースを復号します。永続性を確立するために、ローダーのパスをRunレジストリキーに追加し、スケジュールタスクを作成します。このタスクはバッテリ駆動時でもアクティブのままであり、デバイスの電池残量が少ないときにOSが優先度を下げないようにします。

最後に、PureCrypterはTorNetバックドアをドロップしてTORネットワークを介してC2サーバーに接続し、ステルス通信を保証します。接続の匿名化により、検出は防御者にとってさらに難しくなります。接続されると、TorNetは識別情報を送信し、C2サーバーから受信した任意の.NETアセンブリを通じてリモートコード実行を可能にし、攻撃面を大幅に拡大します。

この進行中のフィッシングキャンペーンにおける高度な検出回避戦術とマルチステージペイロードの展開能力の使用は、絶え間ない警戒とネットワーク監視の重要性を強調しており、進化するサイバー脅威に対抗するために必要です。 集合的サイバー防御のためのSOC Prime Platform は、防御者に、常に敵対者に先んじて悪意のある侵入を迅速に特定するための高度な脅威検出、自動的な脅威ハンティング、インテリジェンス駆動型の検出エンジニアリングのための将来に備えた製品スイートを装備します。