Blog

Cảnh Giác Vì Phát Tán Mã Độc TorNet Qua Email Lừa Đảo [2025]

Trong nửa cuối năm 2024 – đầu 2025, các nhà nghiên cứu đã phát hiện một chiến dịch phishing (email lừa đảo) có quy mô. Chiến dịch này chủ yếu nhắm tới người dùng ở Ba Lan và Đức. Nó sử dụng tệp đính kèm nén “.tgz” để lừa nạn nhân giải nén và chạy một loader .NET. Loader này triển khai PureCrypter, sau đó thả một backdoor .NET mới, được đặt tên là TorNet.  Chúng có khả năng kết nối nạn nhân vào mạng TOR để giao tiếp với server điều khiển (C2). Từ đó làm tăng khả năng ẩn giấu và khó có thể truy vết được. (Theo talosintelligence).

Vậy chiến dịch phát tán mã độc Tornet qua email được thực hiện như thế nào. GDATA mời bạn đọc tìm hiểu ngay trong bài dưới đây nhé!

Chi tiết chuỗi tấn công (TTP) mã độc Tornet qua email

Bạn đọc hãy đọc chi tiết nội dung dưới đây để hiểu rõ về chiến dịch này nhé!

1. Bước khởi đầu: email phishing và tệp .tgz

Kẻ tấn công gửi email giả mạo (Ví dụ: xác nhận chuyển tiền, hoá đơn đặt hàng). Nội dung email đó thường viết bằng tiếng Ba Lan/tiếng Đức. Cùng với đó, email đính kèm file nén .tgz để che giấu payload và né bộ lọc email. Khi người dùng giải nén và chạy file .NET bên trong, chuỗi tấn công bắt đầu kích hoạt.

2. Loader .NET → PureCrypter – Chi tiết phát tán mã độc Tornet

File loader .NET có thể tải về AES-mã hoá của PureCrypter từ các website bị xâm phạm. Nó sẽ có đường dẫn cố định kiểu /filescontentgalleries/pictorialcoversoffiles/; hoặc /post-postlogin/). Hay là giải mã resource nhúng, rồi load reflectively vào bộ nhớ. Điều này làm cho phát hiện bằng chữ ký tĩnh trở nên khó khăn.

3. PureCrypter: kỹ thuật né tránh và persistence

PureCrypter là một DLL .NET (obfuscated với .NET Reactor) thực hiện nhiều kiểm tra anti-analysis. (Anti-debug, anti-VM, check sandbox processes như sbieDLL.dll hay cuckoomon.dll, check chuỗi “VMware”, v.v.).

Nó còn thực hiện kỹ thuật ipconfig /release rồi ipconfig /renew (tạm ngắt/khôi phục IP) để tránh phát hiện cloud-based AV khi payload được thả. PureCrypter sau đó tạo persistence bằng cách thêm entry vào Run registry; tạo Windows Scheduled Task (chạy liên tục, ngay cả khi máy ở chế độ pin thấp). Và cuối cùng là thả một VBScript trong thư mục Startup.

4. Payload: TorNet backdoor – Cẩn trọng mã độc Tornet qua email

TorNet là backdoor .NET mới (obfuscated) có khả năng:

– Giải mã base64 để lấy domain C2 + port (Talos báo thấy các port như 8194, 7890, 8410); và trong phân tích một số domain đã resolve về IP 104[.]168[.]7[.]37 trong thời gian nghiên cứu.

– Thiết lập socket TCP tới C2, gửi chuỗi nhận dạng được mã hóa.(Ví dụ Talos chỉ ra một chuỗi 16 ký tự 5e7a81857a353068 được xử lý và gửi đi), và có thể nhận về assembly .NET mã hóa rồi giải mã và chạy reflectively trong bộ nhớ — tức là kẻ tấn công có thể tải thêm module/stealer/ransomware.

– Tự động tải bộ TOR expert bundle, chạy tor.exe, và route traffic C2 qua Tor (SocksPort 127.0.0.1:9050) để ẩn giao tiếp, tăng độ ẩn danh.

Vì sao mã độc TorNet nguy hiểm?

Mã độc Tornet qua email cần cảnh giác

Theo The Hacker News Tornet nguy hiểm bởi những hậu quả khôn lường dưới đây:

– Chuỗi đa giai đoạn (phishing → loader → PureCrypter → TorNet) cho phép kẻ tấn công linh hoạt thay payload (Agent Tesla, Snake Keylogger, TorNet, …).

– Né detection bằng kỹ thuật memory-only load và anti-sandbox khiến giải pháp chỉ dựa trên signature khó phát hiện kịp thời.

– Sử dụng TOR để che dấu C2 khiến truy vết và block khó khăn hơn so với HTTP/HTTPS truyền thống.

– Persistence tinh vi (scheduled task chạy ngay cả khi pin yếu, registry Run, VBScript) làm cho việc loại bỏ phức tạp hơn.

Hướng dẫn phát hiện & phản ứng với mã độc Tornet

Bạn có thể tham khảo nội dung dưới đây để có thể phát hiện kịp thời mã độc tornet và phản ứng kịp thời.

1. Kiểm tra nhanh & phát hiện mã độc Tornet

  • Kiểm tra tiến trình chạy tor.exe bất thường trên máy Windows. Đặc biệt nếu tor.exe nằm ngoài thư mục cài chính thức của Tor. (TorNet tự tải Tor expert bundle.)
  • Giám sát outbound traffic bất thường tới mạng TOR (nút entry/exit); hoặc kết nối TCP tới các port 8194/7890/8410.
  • Dò tìm scheduled tasks mới lạ, entries trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run; hoặc VBScript trong thư mục Startup.
  • Dùng EDR/endpoint scanning để dò mẫu có behavior tương tự (reflection loading, in-memory execution, AES decryption behavior). SOCPrime và Talos đã công bố detection content/SiGMA rules – triển khai ngay trong hệ thống SIEM/EDR.

2. Phản ứng (Incident Response) – Mã độc Tornet qua email

  • Cô lập endpoint nghi ngờ khỏi mạng (để ngăn data-exfiltration).
  • Lấy snapshot memory và thu thập scheduled task/registry/autorun/VBScript để triage.
  • Quét toàn bộ hệ thống bằng EDR/AV trên mẫu IoC cập nhật (sử dụng repo Talos & Sigma rules SOCPrime). (Theo GitHub
  • Nếu xác định đã bị nhiễm, thực hiện clean up theo playbook: backup logs, wipe máy nếu cần thiết; rebuild từ image sạch, đổi tất cả mật khẩu/credential đã dùng trên máy.
  • Nếu kẻ tấn công đã tải thêm module infostealer hoặc credential harvester như Agent Tesla: Hãy kiểm tra hạ tầng để tìm lateral movement.

Biện pháp phòng ngừa bị mã độc Tornet tấn công

Dưới đây là một số biện pháp được khuyến nghị có thể thực hiện để bảo vệ khỏi chiến dịch tấn công email này:

– Cẩn thận với email lạ: Không mở tệp đính kèm từ những email không rõ nguồn gốc. Đặc biệt là các tệp nén (.zip, .tgz). Hãy kiểm tra kỹ địa chỉ email của người gửi và nội dung email để phát hiện dấu hiệu lừa đảo.

– Cập nhật phần mềm thường xuyên: Đảm bảo hệ điều hành và các phần mềm bảo mật luôn được cập nhật phiên bản mới nhất.

– Sử dụng phần mềm chống mã độc đáng tin cậy: Cài đặt và duy trì các giải pháp chống mã độc từ các nhà cung cấp uy tín.

– Đào tạo người dùng: Cảnh báo về email đính kèm .tgz lạ, yêu cầu xác minh qua kênh khác trước khi mở file liên quan tới chuyển khoản/hóa đơn.

– Chính sách email: Chặn đuôi .tgz hoặc thực hiện sandboxing cho mọi tệp nén đính kèm; bật ATP/URL-reputation checks.

– Bảo vệ endpoint: Dùng giải pháp EDR/AV có khả năng phát hiện hành vi (behavior-based); cập nhật signature & rule (Talos/SOCPrime/Snort/ClamAV).

Network monitoring: Phát hiện lưu lượng Tor/ẩn danh, thiết lập chính sách block nếu doanh nghiệp không dùng Tor hợp lệ.

– Cấu hình quyền: Giới hạn quyền chạy file trên máy người dùng (whitelisting), tắt quyền chạy macro/script không cần thiết.

– Patch & hardening: Cập nhật .NET runtime, Windows, ứng dụng và cài đặt MFA cho tài khoản quan trọng.

Lời kết

Chiến dịch TorNet là một ví dụ điển hình của phishing hiện đại kết hợp với kỹ thuật tải trong bộ nhớ và ẩn danh qua TOR. Nó làm tăng độ khó cho việc phát hiện và ứng phó. Đối với doanh nghiệp cần kết hợp 3 trụ cột: con người (đào tạo), công nghệ (EDR/NG-email/siem) và quy trình (IR playbook & patching). Đây chính là cách tốt nhất để giảm thiểu rủi ro này. Hãy liên hệ với GDATA nếu bạn cần hỗ trợ nhé!

GDATA cung cấp các dịch vụ:

Và nếu bạn có nhu cầu sử dụng dịch vụ, hãy nhắn tin ngay cho GDATA để được tư vấn và nhận ưu đãi mới nhất nhé!

Thông tin liên hệ:

Hotline: 0904 299 668

Tổng đài: 1800 4814 – Phím 2

Email: lienhe@gdata.com.vn

Website: www.gdata.com.vn

Facebook:https://www.facebook.com/gdata.com.vn

CÔNG TY CP DỮ LIỆU TOÀN CẦU

Địa chỉ: Tầng 03 Tòa Lạc Hồng/ 27 Lê Văn Lương, Thanh Xuân, Hà Nội

GDATA – Thuê VPS toàn diện cho doanh nghiệp!

  • 27/10/2025
  • 682 Lượt xem
avatar_author

Tác giả: Cao Thùy Dung

Tôi là Cao Thùy Dung, với hơn 4 năm kinh nghiệm phát triển nội dung số. Trong đó, với hơn 1 năm kinh nghiệm trong lĩnh vực công nghệ thông tin, đặc biệt chuyên sâu về các chủ đề Cloud VPS, Cloud Server, bảo mật mạng, chuyển đổi số và hạ tầng IT.Tôi mong muốn các bài viết khoa học – dễ hiểu – thực tiễn sẽ giúp bạn đọc ở mọi trình độ dễ dàng tiếp cận kiến thức kỹ thuật phức tạp.

  1. Đăng ký dùng thử
  2. Zalo chat
  3. Gọi miễn phí