Tornet relie les machines infectées au réseau TOR pour la commande et l’évasion des communications et de la détection de commande (C2).
Une campagne de phishing en cours, vraisemblablement par un acteur avancé de menace persistante (APT), est vue en abandonnant une nouvelle porte dérobée sur les systèmes de victimes permettant des opérations furtives C2.
La porte dérobée, que l’unité de renseignement Talos de Cisco suit comme tornet, a été trouvée reliant les machines de victime au réseau Tor décentralisé et anonymisant pour C2 Communications.
« Cisco Talos a découvert une campagne malveillante en cours exploitée par un acteur de menace à motivation financière depuis juillet 2024 ciblant les utilisateurs, principalement en Pologne et en Allemagne, sur la base du langage des e-mails de phishing », ont déclaré les chercheurs de Talos dans un article de blog.
Les autres charges utiles livrées par l’acteur, au sein de la campagne, incluent l’agent Tesla et Snake Keylogger.
Livraison par le biais de logiciels malveillants Purecryptor
Selon les chercheurs de Talos, l’infection commence par un e-mail de phishing, rédigé en allemand et en polonais, où l’attaquant se fait passer pour les institutions financières, les entreprises manufacturières et les sociétés de logistique et envoie des reçus transactionnels frauduleux.
Les e-mails de phishing portent une pièce jointe comprimée «.tgz» qui, lorsqu’elle est ouverte par extraction manuelle, conduit la victime à exécuter un chargeur .NET. Ce chargeur télécharge ensuite un logiciel malveillant purecrypter crypté à partir d’un serveur de stadification compromis, le décrypte et l’exécute en mémoire.
«L’acteur a utilisé GZIP pour comprimer les archives TAR du fichier de pièce jointe malveillant pour masquer le contenu malveillant réel de la pièce jointe et échapper aux détections de courrier électronique.
Dans certaines intrusions, les chercheurs ont ajouté, Purecrypter déploie la porte dérobée de Tornet, qui se connecte à un serveur C2 et relie la machine de la victime au réseau Tor. Tornet peut récupérer et exécuter des assemblages .NET arbitraires en mémoire, élargissant la surface d’attaque pour un compromis supplémentaire.
Atteindre la persistance et l’évasion
L’acteur a été vu ramasser plusieurs techniques de persistance et d’échappement de la détection, ont noté des chercheurs. Pour commencer, ils ont effectué l’exécution des logiciels malveillants en tant que tâches prévues sur les machines victimes pour assurer la persistance malgré les redémarrages et les déconnexions des utilisateurs.
«L’acteur exécute une tâche programmée Windows sur les machines des victimes, y compris sur les points de terminaison avec une batterie faible – pour obtenir de la persistance», a déclaré les chercheurs de Talos.
De plus, l’attaquant déconnecte la machine de la victime du réseau juste avant de livrer les logiciels malveillants, le reprenant une fois la goutte terminée. Ceci est fait pour éviter la détection par les programmes antivirus basés sur le cloud. En plus de cela, le malware purecrypter lui-même effectue divers vérifications anti-débogueur, anti-analyse, anti-VM et anti-malware sur la machine victime, ont ajouté des chercheurs.
Il est important de noter que les chercheurs ont également trouvé des échantillons de courrier électronique écrits en anglais, ce qui indique le potentiel de la campagne à utiliser en dehors de ces géographies.