Tropidoor Backdoor

تروبيدور (Tropidoor) برنامج تهديد يُصنّف كبرنامج تسلل خلفي. البرامج الخبيثة مصممة لتوفير وصول غير مصرح به إلى نظام مُخترق. بعض أنواعها قادرة أيضًا على تنزيل وتثبيت برامج أو مكونات ضارة إضافية، مما يزيد من خطورة الهجوم.

علاقة تروبيدور ببيفيرتيل والجهات الفاعلة في كوريا الشمالية

رُصد برنامج تروبيدور في حملات هجمات إلكترونية، إلى جانب برنامج ضار يُمكّن من التنزيل، وبرنامج ضار آخر يُسمى بيفر تيل . يرتبط هذا البرنامج الأخير بجهات تهديد كورية شمالية، ويُستخدم لاستهداف المطورين، وخاصةً في كوريا الجنوبية.

كيف يتم تقديم Tropidoor: حملات التصيد الاحتيالي ذات الطابع التوظيفي

قام مجرمو الإنترنت بتوزيع Tropidoor عبر رسائل تصيد احتيالي ذات طابع توظيفي. انتحلت هذه الرسائل الاحتيالية صفة عروض عمل من مجتمع المطورين (dev.to)، واحتوت على روابط لمستودع BitBucket يحتوي على برمجيات خبيثة. تضمن المستودع BeaverTail وبرنامج التنزيل الذي يُشغّل Tropidoor.

ما وراء مجتمع DEV: LinkedIn ومتجهات الهجوم الأخرى

انتشر BeaverTail على نطاق واسع عبر حملات التصيد الاحتيالي على LinkedIn، مستخدمًا عروض عمل وهمية كطُعم. ورغم أن هذه الحملات استهدفت المستخدمين حول العالم، إلا أن غالبية الضحايا يبدو أنهم في كوريا الجنوبية.

تكتيكات توزيع البرامج الضارة: التصيد الاحتيالي والإعلانات الخبيثة والمزيد

يتم توزيع البرامج الضارة مثل Tropidoor عادةً من خلال:

• رسائل البريد الإلكتروني الاحتيالية التي تحتوي على مرفقات أو روابط غير آمنة
• التنزيلات غير المقصودة من مواقع الويب المخترقة
• الإعلانات الضارة (الإعلانات غير الآمنة التي تؤدي إلى التنزيلات)
• مصادر البرامج غير الموثوقة، مثل مواقع البرامج المجانية وشبكات P2P
• البرامج المقرصنة وأدوات التنشيط غير القانونية (الكراكات)
• تحديثات البرامج المزيفة
• آليات الانتشار الذاتي باستخدام الشبكات المحلية أو محركات أقراص USB

خداع BitBucket: تكتيك التصيد الاحتيالي

تضمنت محاولة تصيد أخرى رسائل بريد إلكتروني تنتحل صفة شركة تُدعى AutoSquare. طُلب من الضحايا استنساخ مشروع BitBucket، الذي احتوى على حزمة npm تحتوي على كلٍّ من BeaverTail وبرنامج تنزيل DLL خبيث مُتنكر في صورة car.dll. تم تنفيذ هذا البرنامج عبر برنامج سرقة وتحميل قائم على JavaScript.

قدرات تروبيدور: سلاح سيبراني قوي

بمجرد تشغيله، يعمل Tropidoor في الذاكرة ويتفاعل مع خادم القيادة والتحكم (C2). هذا يسمح له بما يلي:

• جمع معلومات النظام (اسم الجهاز، تفاصيل نظام التشغيل، معلومات الأجهزة)
• إدارة الملفات (البحث، الحذف، التنزيل، التجميع)
• تنفيذ وإنهاء العمليات
• التقاط لقطات الشاشة
• حقن التعليمات البرمجية الخبيثة في العمليات الجارية
• تحميل وتنفيذ الحمولات في الذاكرة

تهديد متطور: مستقبل تروبيدور

يُحسّن مطورو البرامج الضارة أدواتهم باستمرار، وقد تُضيف الإصدارات المستقبلية من Tropidoor وظائف جديدة. هذا التطور يُلزم فرق الأمن السيبراني باليقظة التامة ضد التهديدات الناشئة.

اتصال مجموعة لعازر: تكتيك مألوف

يتشابه Tropidoor مع LightlessCan ، وهو برنامج خبيث آخر تستخدمه مجموعة Lazarus ، وهي منظمة قرصنة تابعة لكوريا الشمالية. ومثل سابقه، BLINDINGCAN (المعروف أيضًا باسم AIRDRY أو ZetaNile)، ينفذ Tropidoor أوامر Windows مباشرةً، مثل schtasks وping وreg، ليتداخل مع نشاط النظام الشرعي.

حماية نفسك: البقاء آمنًا من هجمات تروبيدور

لتقليل خطر الإصابة بالعدوى، يجب على المستخدمين:

• كن حذرًا مع مرفقات البريد الإلكتروني والروابط
• تجنب تنزيل البرامج من مصادر غير موثوقة
• حافظ على تحديث إصلاحات الأمان والبرامج
• استخدم كلمات مرور قوية وفريدة

• استخدم أدوات مكافحة البرامج الضارة وحماية نقاط النهاية ذات السمعة الطيبة

من خلال البقاء متيقظين واتباع أفضل ممارسات الأمن السيبراني، يمكن للأفراد والمؤسسات الدفاع بشكل أفضل ضد التهديدات المعقدة مثل Tropidoor.