Chiến Dịch Phát Tán Mã Độc TorNet Qua Email Lừa Đảo

Gần đây, phía FPT Threat Intelligence phát hiện một chiến dịch tấn công mạng nguy hiểm, nhắm vào người dùng chủ yếu ở các quốc gia phát triển và đang phát triển. Chiến dịch này sử dụng email lừa đảo (phishing) để phát tán mã độc, bao gồm một backdoor mới có tên TorNet.

Tổng quan

Chiến Dịch Tấn Công: Điểm Khởi Đầu Từ Email Lừa Đảo

Chiến dịch bắt đầu bằng việc gửi các email lừa đảo, giả mạo các tổ chức tài chính hoặc công ty sản xuất, hậu cần. Những email này thường chứa thông tin giả mạo như xác nhận chuyển tiền hoặc biên nhận đặt hàng. Điều đáng chú ý là các email này chủ yếu được viết bằng tiếng Ba Lan và tiếng Đức, cho thấy mục tiêu chính của kẻ tấn công là người dùng ở hai quốc gia này.

Cách thức hoạt động:

1. Email lừa đảo có đính kèm tệp nén với phần mở rộng .tgz. Tệp này được nén bằng GZIP để che giấu nội dung độc hại.
2. Khi người dùng mở tệp đính kèm và giải nén, một tệp thực thi .NET loader sẽ được kích hoạt.
3. Loader này tải xuống phần mềm độc hại PureCrypter từ một máy chủ bị xâm phạm, giải mã và chạy nó trong bộ nhớ hệ thống.

Mã Độc PureCrypter Và Backdoor TorNet

PureCrypter là một loại mã độc nguy hiểm, được sử dụng để thả các payload khác nhau, bao gồm TorNet – một backdoor mới chưa từng được ghi nhận trước đây.

Cách PureCrypter hoạt động:

• Nó tạo một mutex (cơ chế đồng bộ hóa) trên máy tính nạn nhân.
• Ngắt kết nối mạng tạm thời để tránh bị phát hiện bởi các phần mềm chống mã độc đám mây.
• Thực hiện các kiểm tra phức tạp để tránh bị phát hiện, bao gồm:
  • Kiểm tra môi trường máy ảo (VM) như VMware, VirtualBox.
  • Kiểm tra các công cụ phân tích mã độc như Sandboxie và Cuckoo.
  • Vô hiệu hóa Windows Defender bằng cách thêm các quy trình và đường dẫn của mã độc vào danh sách loại trừ.

Sau khi vượt qua các kiểm tra, PureCrypter giải mã và thả backdoor TorNet vào máy tính nạn nhân.

Backdoor TorNet: Nguy Hiểm Và Khả Năng Ẩn Mình

TorNet là một backdoor .NET mới, được làm mờ bằng công cụ .NET Reactor. Nó có khả năng kết nối máy tính nạn nhân với mạng TOR, giúp kẻ tấn công ẩn danh và tránh bị phát hiện.

Cách TorNet hoạt động:

1. Kết nối với máy chủ điều khiển (C2) thông qua mạng TOR.
2. Nhận và thực thi các lệnh từ máy chủ C2, bao gồm tải xuống và chạy các tệp .NET độc hại khác.
3. Sử dụng các kỹ thuật mã hóa phức tạp để giao tiếp với máy chủ C2, khiến việc phát hiện trở nên khó khăn hơn.

Khuyến nghị

Dưới đây là một số biện pháp được khuyến nghị có thể thực hiện để bảo vệ khỏi chiến dịch tấn công này:

1. Cẩn thận với email lạ:
   • Không mở tệp đính kèm từ những email không rõ nguồn gốc, đặc biệt là các tệp nén (.zip, .tgz).
   • Kiểm tra kỹ địa chỉ email của người gửi và nội dung email để phát hiện dấu hiệu lừa đảo.
2. Cập nhật phần mềm thường xuyên:
   • Đảm bảo hệ điều hành và các phần mềm bảo mật luôn được cập nhật phiên bản mới nhất.
3. Sử dụng phần mềm chống mã độc đáng tin cậy:
   • Cài đặt và duy trì các giải pháp chống mã độc từ các nhà cung cấp uy tín.
4. Kiểm tra các kết nối mạng bất thường:
   • Nếu phát hiện máy tính tự động kết nối đến các địa chỉ IP lạ hoặc sử dụng mạng TOR, hãy ngắt kết nối và quét mã độc ngay lập tức.
5. Nâng cao nhận thức về an toàn thông tin:
   • Đào tạo nhân viên và người dùng về các kỹ thuật lừa đảo phổ biến và cách phòng tránh.

Kết Luận

Chiến dịch tấn công sử dụng mã độc TorNet và PureCrypter là một lời nhắc nhở nghiêm túc về tầm quan trọng của việc cảnh giác trước các mối đe dọa an ninh mạng. Bằng cách tuân thủ các biện pháp bảo mật cơ bản và nâng cao nhận thức, bạn có thể giảm thiểu rủi ro và bảo vệ thông tin cá nhân, dữ liệu quan trọng của mình.

IOCs

3b4e709768d7cd0cb895de74267f45a6ef6565ebed445393878f17ae02a983e3 9d33726fc1d39fdc0426c70ed0cfb515e15f50d39c46d8ff38025b4faf8811dc 75d2d368d735fca2bad0155510cb4a927f7f246ea72299395990027264056521 84570dac910557d0d8217db746c9a8fd4a27cd3db89135731c7f3584b37df533 7ce9af599857827317a444c5a63a08929ec97765bc2624076f4834f323a41da2 e9ab4772ba6de2db9add3d4bbd3ce0f2dd899f16399b57fd2a539769e6ee973a 2f9c2e0bef460a7623954d65f10e6e5993c01d25e6f2905a5dc911639ca2ea75 dc513e35a6d96933e7af2b300782a32131d31445a6d1e2bbca9604128c92e7c6 57543fd3673c9595a73c836b153faf68e23938662c5a4b6675205734b688ae95 898d0451bd52c466d2284091be928f8ec1ced2184b205d903a04a747e67763ea 53e7b3b72695a1eaea7146ec3cbd05d0ce2a1eba87f035ae07849feb4f59ec63 bff0ec65af8b2bb37fcc5202f823b5877ebdcc8efbd32e08f309cbcb4dc2570c 6774a822d9c66951be95341d50c1f876a9373fefef52f68f29eaae4efc621817 c32d97fb9a1681a7bea3f417abde0264a2332221e317c8543e337baac9307c67 075737b17ba72aed5f45d227bf91dd5744914308e1468717a8f3100a0cca8156 a85423a1a37f604e492ee58920178080f0da306750a356ddfe1b695c12becd07 4a5b8442dc2b34a270acdcd8a14cce573d59dc0922c9e49cda8fe2dd8e4a3862 80b80e15f605f0b8740e1989e505280394d746e8a8ee37cdb9b009d745e42da0 4280eb4cfa0445a40d8e1dfafdc0eb24613f3536c5959270ef0079034b30e653 2f1cb29e47c5b07fba3070d6a5339b00d2f3075eb7717438cf5cf53679793919 252d9ed583bbd2e5d75ae5167feb393bd50b44933594f9586aaf5d9987cf78ec edac6216665f1c8b0a09158abdd5e7fab63a386a1c9ad31ddd5ee92a6aa811fc 13ac538c8c6696a59f890677cf451db77b7c33539da1d380640ce549b2b70ca4
italzformendinggallores[.]duckdns[.]org humblecrazeforeal8897[.]accesscam[.]org sertiscoppersail432[.]freeddns[.]org moristaetdfertal9002[.]ddnsgeek[.]com paradoncalleke5689[.]camdvr[.]org greeslieforreallcul5672[.]casacam[.]net blissfulzerooooos690[.]ddnsfree[.]com www[.]blissfulzerooooos690[.]ddnsfree[.]com hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Sjydgbr[.]pdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Guwasd[.]dat hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Fwudzwsfsp[.]wav hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Dyvfi[.]dat hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Iicivjzqdma[.]mp3 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Dewsmwflw[.]vdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Xlkythleoq[.]pdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Zerwfilj[.]pdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Sfrnotlay[.]mp3 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Jovjvwp[.]wav hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Vmoeykn[.]pdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Wyvmy[.]wav hxxp[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Zafvlztxj[.]vdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Gikwomjv[.]wav hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Zafvlztxj[.]vdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Qecvodcnuz[.]wav hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Hlynogyqp[.]dat hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Uvkoiguq[.]dat hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Awtvbihi[.]vdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Oqjhea[.]mp3 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Ztpcwfowiiu[.]wav hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Bonhowau[.]mp4 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Qcqvzdtpln[.]pdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Jlhwfgnnyms[.]wav hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Otmaq[.]mp4 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Elxrh[.]vdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Rxmjavdc[.]mp3 hxxp[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Elxrh[.]vdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Cfyenm[.]mp4 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Bibyep[.]mp4 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Lcrakntjck[.]pdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Atcbgl[.]mp4 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Rspfqdltykq[.]mp3 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Fxsovxc[.]pdf hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Bnvqyotgu[.]mp3 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Rmtafnw[.]mp3 hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Lmshcchh[.]wav hxxps[://]sanel[.]net[.]pl/filescontentgalleries/pictorialcoversoffiles/Ibesc[.]wav hxxps[://]cud-senegal[.]org/post-postlogin/Oojhwcym[.]wav hxxps[://]cud-senegal[.]org/post-postlogin/Cpoewtupeck[.]mp4 hxxps[://]cud-senegal[.]org/post-postlogin/Nrileknnlgv[.]vdf hxxps[://]cud-senegal[.]org/post-postlogin/Izevzxvwkpf[.]pdf

Tham khảo

1. TorNet Backdoor Detection: An Ongoing Phishing Email Campaign Uses PureCrypter Malware to Drop Other Payloads <https://socprime.com/blog/tornet-backdoor-detection/>\
2. New TorNet backdoor seen in widespread campaign <https://blog.talosintelligence.com/new-tornet-backdoor-campaign/>