TorNet Backdoor Detection: An Ongoing Phishing Email Campaign Uses PureCrypter Malware to Drop Other Payloads
목차:
재정적 동기를 가진 해커들이 폴란드와 독일을 대상으로 하는 지속적인 악성 캠페인 배후에 있습니다. 이러한 피싱 공격은 다중 페이로드를 배포하는 것을 목표로 하고 있으며, 이에 포함된 것은 Agent Tesla, Snake Keylogger및 TorNet이라는 새로운 백도어로서, 이는 PureCrypter 악성 소프트웨어를 통해 전달됩니다.
TorNet 백도어 탐지
피싱 캠페인에 대한 2024년 하반기에 피싱 메시지가 202% 증가해 이 공격 벡터가 지속적인 위협임을 나타냅니다. PureCrypter 악성 소프트웨어를 통해 배포되는 TorNet 백도어의 출현은 방어자들의 신속하고 능동적인 대응이 요구되는 고급 탐지 회피 기술을 사용하는 지속적인 피싱 캠페인입니다.
SOC Prime 플랫폼 은 벤더와 무관한 Sigma 규칙과 자동 생성된 IOC 쿼리를 포함한 큐레이션된 탐지 콘텐츠를 제공하여 TorNet 백도어 침입에 대해 능동적으로 방어할 수 있도록 합니다. 탐지 스택에 액세스하려면 간단히 아래의 탐지 탐색 을 클릭하세요.
탐지 콘텐츠는 MITRE ATT&CK® 과 정렬되며 탐색 연구를 효율화하기 위한 실행 가능한 위협 인텔리전스 및 관련 메타데이터, 잘못된 긍정, 감사 구성 권장 사항, 바이너리 및 미디어 참조를 포함하여 보강됩니다. 추가로, 보안 엔지니어는 Uncoder AI 를 사용하여 탐지 코드를 사용 중인 SIEM, EDR 또는 데이터 레이크 언어 형식으로 즉시 번역할 수 있으며, Cisco Talos 보고서에서의 IOC 를 기반으로 개인 맞춤형 사냥 쿼리로 가속화할 수 있습니다.
TorNet 백도어 분석
Cisco Talos 는 2024년 한여름부터 최소한 현재까지 활동 중인 악성 캠페인을 최근 식별했습니다. 이 캠페인은 재정적 동기를 가진 공격자에 의해 조정되며, 폴란드와 독일의 사용자들을 주로 대상으로 하고 있으며, 피싱 이메일에서 그 언어로 표시됩니다. 이 캠페인에서 사용되는 PureCrypter 악성 소프트웨어는 다수의 악성 페이로드를 전달하며, 여기에는 Agent Tesla 및 Snake Keylogger가 포함됩니다. TorNet이라는 새로 발견된 백도어를 드롭합니다. ‘TorNet’이라는 명칭은 TOR 네트워크를 통해 피해자의 컴퓨터와 통신할 수 있는 공격 능력을 반영합니다.
감염 체인은 피싱 이메일을 초기 공격 벡터로 사용하여 시작됩니다. 공격자들은 가짜 송금 확인서와 가짜 주문 영수증을 보내고, 대부분의 피싱 이메일은 폴란드어와 독일어로 작성되어 해당 지역의 사용자에게 초점을 맞추고 있으며, 일부 영어 샘플도 식별되었습니다.
피싱 이메일에는 ‘.tgz’ 파일 확장자가 있는 첨부 파일이 포함되어 있으며, 이는 공격자가 악성 파일의 TAR 아카이브를 압축하기 위해 GZIP을 사용했음을 나타냅니다. 이 전술은 첨부 파일의 진정한 본질을 위장하고 악성 소프트웨어 분석을 방해하는 데 도움을 줍니다.
이메일 첨부 파일을 열고, 추출하고, .NET 로더를 실행하면 대상 서버에서 암호화된 PureCrypter 악성 소프트웨어를 다운로드하게 됩니다. 로더는 이를 암호 해독하고 시스템 메모리에서 실행합니다. 일부 경우에는 PureCrypter가 TorNet 백도어를 배포하여 C2 서버에 연결하고 침해된 머신을 TOR 네트워크에 통합합니다. TorNet은 메모리에서 임의의 .NET 어셈블리를 가져와 실행할 수 있으며, 추가 감염을 위한 공격 면적을 확장합니다. 주목할 만한 점은 무기화된 압축 첨부 파일이 대규모 .NET 실행 파일을 포함하고 있으며, 이는 원격 스테이징 서버에서 다음 단계의 악성 소프트웨어를 다운로드하거나 메모리에서 직접 임베디드 악성 바이너리를 실행하도록 설계되었습니다.
PureCrypter 악성 소프트웨어는 먼저 대상 시스템에 뮤텍스를 생성하여 TorNet 백도어를 드롭하고, 할당된 DHCP IP 주소를 해제하고 지속성을 더 설정합니다. 그런 다음 분석 방지 기술을 수행하고, 페이로드를 배포하고 실행하며, 마지막으로 취약한 시스템의 IP 주소를 갱신합니다.
PureCrypter는 여러 탐지회피 검사를 수행합니다. 예를 들어, 악성 소프트웨어는 ‘CheckRemoteDebuggerPresent’ 기능을 통해 디버깅을 탐지하고 ‘sbieDLL.dll’와 ‘cuckoomon.dll’을 검색하여 샌드박스 환경을 식별하며, WMI 쿼리를 사용하여 ‘VMware’, ‘VIRTUAL’, ‘AMI’, ‘Xen’과 같은 문자열을 검색하여 가상 환경을 확인합니다. 추가로, PureCrypter는 프로세스와 배포된 백도어의 경로를 보안 스캔에서 제외하도록 Windows Defender 설정을 변경하는 PowerShell 명령을 실행할 수 있습니다.
보안 검사를 우회한 후, PureCrypter는 무작위 파일명으로 사용자 임시 폴더에 백도어를 해독하여 드롭합니다. 또한 다른 리소스를 해독하여 Windows 작업 예약자의 파일 이름 및 작업 이름을 생성합니다. 지속성을 설정하기 위해 로더의 경로를 ‘Run’ 레지스트리 키에 추가하고, 장치가 배터리 전원에서도 활성 상태를 유지하는 예약 작업을 생성합니다. 이는 연속 실행을 보장하고, 장치의 배터리 전원이 부족할 때 OS가 우선 순위를 낮추지 않도록 합니다.
마지막으로, PureCrypter는 C2 서버에 TOR 네트워크를 통해 연결하기 위해 TorNet 백도어를 드롭하여 은밀한 통신을 보장합니다. 연결을 익명화함으로써 방어자에게 탐지를 더 어렵게 만듭니다. 연결된 후, TorNet은 식별 정보를 전송하고, C2 서버로부터 받는 임의의 .NET 어셈블리를 통해 원격 코드 실행을 활성화하여 공격 면적을 상당히 확장합니다.
복잡한 탐지 회피 전략의 사용과 다단계 페이로드 배포 능력을 가진 이러한 지속적인 피싱 캠페인은 발전하는 사이버 위협에 대처하기 위해 지속적인 경계와 네트워크 모니터링의 중요성을 강조합니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼 은 진화하는 적에 대비하여 항상 앞서고 악성 침입을 적시로 식별하기 위한 고급 위협 탐지, 자동화된 위협 사냥, 인텔리전스 중심의 탐지 엔지니어링을 위한 미래 지향적인 제품군을 방어자에게 제공합니다.
