الأمن السيبراني , , , , , , , , ,

PURECrypter ينشر العميل Tesla و New Tornet Backdoor في الهجمات الإلكترونية المستمرة

PURECrypter ينشر العميل Tesla و New Tornet Backdoor في الهجمات الإلكترونية المستمرة


28 يناير 2025رافي لاكشمانانهجوم التصيد / أمان الشبكة

PURECrypter ينشر العميل Tesla و New Tornet Backdoor في الهجمات الإلكترونية المستمرة

تم ربط ممثل التهديد بدافع ماليًا بحملة بريد إلكتروني استمرار للتصيد الخزلي مستمر منذ يوليو 2024 على الأقل يستهدف المستخدمين في بولندا وألمانيا.

أدت الهجمات إلى نشر العديد من الحمولات ، مثل الوكيل Tesla ، و Snake Keylogger ، والورق الخلفي غير الموثق سابقًا يطلق عليه Tornet يتم تسليمه عن طريق Purecrypter. تم تسمية Tornet بسبب حقيقة أنها تسمح لممثل التهديد بالتواصل مع آلة الضحايا على شبكة عدم الكشف عن هويته TOR.

“الممثل يدير مهمة مجدولة للنوافذ على آلات الضحايا – بما في ذلك نقاط النهاية مع بطارية منخفضة – لتحقيق الثبات” قال في تحليل نُشر اليوم.

الأمن السيبراني

“يقوم الممثل أيضًا بفصل آلة الضحايا عن الشبكة قبل إسقاط الحمولة النافعة ثم يقوم بتوصيلها بالشبكة ، مما يسمح لهم بالتجنب اكتشاف حلول Cloud Antimalware.”

نقطة الانطلاق للهجمات هي بريد إلكتروني للتصيد يحمل تأكيدات تحويل الأموال المزيفة أو إيصالات الطلب ، مع تنكر ممثل التهديد كشركات مالية وشركات التصنيع والخدمات اللوجستية. تعلق على هذه الرسائل ملفات مع الامتداد “.tgz” في محاولة محتملة للتهرب من الكشف.

يؤدي فتح مرفق البريد الإلكتروني المضغوط واستخراج محتويات الأرشيف إلى تنفيذ محمل .NET الذي يقوم بدوره بتنزيل Purecrypter مباشرة في الذاكرة.

ثم تشرع البرامج الضارة في PureCrypter في إطلاق Backdoor Tornet ، ولكن ليس قبل القيام بسلسلة من عمليات التحقق من مضادات الأداء ، ومضادات التحليل ، ومكافحة VM ، ومضادات الميالويات على آلة الضحايا لتطير تحت الرادار.

وأشار Raghuprasad إلى أن “The Tornet Backdoor ينشئ اتصالًا بخادم C2 ويقوم أيضًا بتوصيل جهاز الضحية بشبكة Tor”. “لديها إمكانيات لتلقي وتشغيل مجموعات .NET التعسفية في ذاكرة آلة الضحية ، تم تنزيلها من خادم C2 ، مما يزيد من سطح الهجوم لمزيد من التدخلات.”

الأمن السيبراني

يأتي الإفصاح بعد أيام من قالت شركة التهديدات الاستخباراتية إنها لاحظت زيادة في تهديدات البريد الإلكتروني التي تستفيد من تمليح النص المخفي في النصف الثاني من عام 2024 بقصد تجنب استخراج اسم العلامة التجارية عن طريق محلات البريد الإلكتروني ومحركات الكشف.

“Salting النص المخفي هو تقنية بسيطة ولكنها فعالة لتجاوز محلات البريد الإلكتروني ، ومرشحات البريد العشوائي المربكة ، والتهرب من محركات الكشف التي تعتمد على الكلمات الرئيسية” قال. “الفكرة هي تضمين بعض الشخصيات في مصدر HTML للبريد الإلكتروني الذي لا يمكن التعرف عليه بصريًا.”

لمواجهة مثل هذه الهجمات ، يوصى بتطوير تقنيات تصفية متقدمة يمكنها اكتشاف تمليح النص وإخفاء المحتوى المخفي ، بما في ذلك اكتشاف استخدام خصائص CSS مثل “الرؤية” و “العرض” ، واعتماد نهج الكشف عن التشابه البصري (على سبيل المثال ، بيسكو) لتعزيز قدرات الكشف.

وجدت هذه المقالة مثيرة للاهتمام؟ تابعنا تغريد و LinkedIn لقراءة المزيد من المحتوى الحصري الذي ننشره.





Source link

وسم

Related Posts

إرسال التعليق

تفقد ما فاتك