Tropidoor Backdoor
Tropidoor е заплашителна програма, която се класифицира като задна врата. Задните врати са вид зловреден софтуер, предназначен да осигури неоторизиран достъп до компрометирана система. Някои варианти могат също да изтеглят и инсталират допълнителен злонамерен софтуер или компоненти, увеличавайки тежестта на атаката.
Съдържание
Връзката на Tropidoor с BeaverTail и севернокорейските заплахи
Tropidoor е наблюдаван в кампании за кибератаки заедно със зловреден софтуер за изтегляне и друга вредна програма, наречена BeaverTail . Последният е свързан със севернокорейски заплахи и е използван за насочване към разработчици, особено в Южна Корея.
Как се доставя Tropidoor: Фишинг кампании с тематика за набиране на персонал
Киберпрестъпниците са разпространили Tropidoor, използвайки фишинг имейли с набиране на персонал. Тези измамни съобщения имитират предложения за работа от общността на DEV (dev.to) и съдържат връзки към хранилище на BitBucket, хостващо зловреден код. Хранилището включваше BeaverTail и програмата за изтегляне, която изпълнява Tropidoor.
Отвъд общността на DEV: LinkedIn и други вектори на атаки
BeaverTail е широко разпространен чрез фишинг кампании в LinkedIn, използвайки фалшиви предложения за работа като стръв. Въпреки че тези кампании са насочени към потребители по целия свят, по-голямата част от жертвите изглежда са в Южна Корея.
Тактики за разпространение на злонамерен софтуер: фишинг, злонамерена реклама и други
Зловреден софтуер като Tropidoor обикновено се разпространява чрез:
- Фишинг имейли с опасни прикачени файлове или връзки
- Drive-by изтегляния от компрометирани уебсайтове
- Злонамерена реклама (несигурни реклами, които предизвикват изтегляния)
- Ненадеждни източници на софтуер, като безплатни сайтове и P2P мрежи
- Пиратски софтуер и незаконни инструменти за активиране (кракове)
- Фалшиви софтуерни актуализации
- Саморазпространяващи се механизми, използващи локални мрежи или USB устройства
Измама с BitBucket: Тактиката за фишинг
Друг опит за фишинг включва имейли, представящи се за компания, наречена AutoSquare. Жертвите бяха насочени да клонират проект BitBucket, който съдържаше npm пакет, съдържащ както BeaverTail, така и злонамерен софтуер за изтегляне на DLL, маскиран като car.dll. Този инструмент за изтегляне е изпълнен чрез базиран на JavaScript крадец и зареждащ инструмент.
Възможностите на Tropidoor: Мощно кибероръжие
След като бъде изпълнен, Tropidoor работи в паметта и взаимодейства със своя сървър за командване и контрол (C2). Това му позволява да:
- Съберете информация за системата (име на устройството, подробности за ОС, информация за хардуера)
- Управление на файлове (търсене, изтриване, изтегляне, събиране)
- Изпълнение и прекратяване на процеси
- Правете екранни снимки
- Инжектирайте зловреден код в работещи процеси
- Заредете и изпълнете полезни товари в паметта
Развиваща се заплаха: Бъдещето на Tropidoor
Разработчиците на зловреден софтуер често подобряват своите инструменти и бъдещите версии на Tropidoor могат да въведат нови функционалности. Тази еволюция прави изключително важно за екипите по киберсигурност да останат бдителни срещу възникващи заплахи.
Връзката с групата Lazarus: позната тактика
Tropidoor споделя прилики с LightlessCan , друг зловреден софтуер, използван от Lazarus Group , хакерска организация, свързана със Северна Корея. Подобно на своя предшественик, BLINDINGCAN (известен още като AIRDRY или ZetaNile), Tropidoor директно прилага команди на Windows като schtasks, ping и reg, за да се слее с легитимната системна активност.
Защитете се: пазете се от атаки на Tropidoor
За да намалят риска от инфекция, потребителите трябва:
- Бъдете внимателни с прикачени файлове и връзки към имейли
- Избягвайте да изтегляте софтуер от непроверени източници
- Поддържайте корекциите за сигурност и софтуера актуален
Като останат нащрек и следват най-добрите практики за киберсигурност, хората и организациите могат по-добре да се защитават срещу сложни заплахи като Tropidoor.
