Az új TorNet backdoor-t használják egy széleskörű kampányban
A Cisco Talos egy pénzügyi motivációjú kiberszereplő által 2024. júliusa óta működtetett rosszindulatú kampányt fedezett fel, amely az adathalász e-mailek nyelvezete alapján elsősorban lengyelországi és németországi felhasználókat célzott meg. A kiberszereplő különböző payload-okat szállított, köztük az Agent Tesla-t, a Snake Keylogger-t és egy korábban nem dokumentált, a Cisco Talos által TorNet-nek nevezett backdoor-t, amelyet a PureCrypter malware dobott le. A kiberszereplő egy Windows ütemezett feladatot futtatott az áldozatok gépein – beleértve az alacsony akkuállapottal rendelkező végpontokat is -, hogy elérje a perzisztenciát. A kiberszereplő a payload ledobása előtt leválasztotta az áldozat gépét a hálózatról, majd visszakapcsolta a hálózatra, így elkerülheti a felhőalapú antimalware megoldások általi észlelést. A Cisco Talos megállapította, hogy a kiberszereplő a TorNet backdoor segítségével csatlakoztatja az áldozat gépét a TOR-hálózathoz a C2 kommunikáció elfedése és az észlelés megkerülése érdekében.
A kezdeti fertőzési vektor egy adathalász e-mail. A kiberszereplő pénzintézeteknek, illetve gyártó és logisztikai vállalatoknak adja ki magát, és hamis átutalási visszaigazolásokat, illetve hamis rendelési bizonylatokat küld az áldozatoknak. Az adathalász e-mailek túlnyomórészt lengyel és német nyelven íródtak, ami arra utal, hogy a kiberszereplő elsősorban az említett országok felhasználóit célozza meg. A Cisco Talos szakemberei azonosítottak néhány angol nyelvű adathalász e-mail mintát is ugyanebből a kampányból. Az adathalász e-mailek témái és az e-mail mellékletek fájlnevei alapján a Cisco Talos közepes biztonsággal állítja, hogy a szereplő pénzügyi motivációval rendelkezik.
Az adathalász e-mailek „.tgz” fájlkiterjesztésű mellékleteket tartalmaznak, ami arra utal, hogy a szereplő GZIP segítségével tömörítette a rosszindulatú csatolt fájl TAR-archívumát, hogy elrejtse a melléklet tényleges rosszindulatú tartalmát, és elkerülje az e-mail észlelést.
A kampánnyal kapcsolatos IOC-kat megosztotta a Cisco Talos a GitHub repojában.
