Недавно Cisco Talos раскрыла продолжающуюся вредоносную кампанию, организованную финансово мотивированным хакером, которая активно действует с июля 2024 года. Основной целью атак являются пользователи в Польше и Германии, что подтверждается языком, используемым в фишинговых письмах.
Характеристики кампании
Хакер применяет несколько опасных инструментов и методик, в том числе:
- Agent Tesla — вредоносный программный комплекс, известный своей способности к сбору данных;
- кейлоггер Snake — специальная программа для записи нажатий клавиш;
- бэкдор TorNet — новая находка, использующая сетевые технологии TOR для анонимных операций.
Кроме того, злоумышленник демонстрирует высокий уровень хитрости, устанавливая запланированные задачи в операционной системе Windows на компрометированных компьютерах. Эти задачи запускаются даже при низком заряде батареи, выключая устройства из сети для предотвращения их обнаружения облачными решениями по защите.
Методология атак
Отправной точкой для атак служат фишинговые письма, которые маскируются под сообщения от финансовых учреждений или логистических компаний. Основные особенности фишинговых писем:
- Письма написаны на польском и немецком языках, а иногда также на английском;
- Вложения имеют расширение .tgz, что указывает на использование сжатия GZIP для сокрытия вредоносного содержимого;
- Открытие приложений приводит к загрузке зашифрованной вредоносной программы PureCrypter.
Тактики скрытности
Запущенная программа PureCrypter создает условия для выполнения произвольных действий. Вредоносные исполняемые файлы могут:
- Загружаться с удаленных серверов;
- Иметь встроенные зашифрованные части;
- Автоматически расшифровываться и загружаться в память жертвы.
PureCrypter использует сложные методы обхода обнаружения:
- Создание мьютекса для предотвращения вторичных запусков;
- Изменение настроек Windows Defender;
- Внедрение в процесс .NET runtime.
Бэкдор TorNet и его возможности
Новым открытием в этой кампании стал бэкдор TorNet, который обеспечивает компьютерам-жертвам соединение с сетью TOR. Это позволяет анонимно обмениваться данными с командным сервером (C2) и избегать обнаружения. TorNet использует методы, аналогичные PureCrypter, включая:
- Подключение к серверу C2 через TCP-сокеты;
- Расшифровку строк base64 для определения домена C2;
- Возможность выполнения произвольных команд.
Заключение
Вредоносная кампания, организованная хакером, подчеркивает необходимость повышенного внимания к мерам кибербезопасности. Пользователям стоит проявлять особую осторожность в отношении фишинговых писем и вредоносных вложений, чтобы избежать ущерба от таких атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Финансовый хакер: как TorNet и PureCrypter атакуют пользователей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.