Tropidoor Backdoor
Tropidoor je hrozivý program, který je klasifikován jako zadní vrátka. Zadní vrátka jsou typ malwaru navržený tak, aby poskytoval neoprávněný přístup k napadenému systému. Některé varianty mohou také stáhnout a nainstalovat další škodlivý software nebo komponenty, čímž se zvýší závažnost útoku.
Obsah
Spojení Tropidooru s BeaverTail a severokorejskými hrozbami
Tropidoor byl pozorován v kampaních kybernetických útoků spolu se stahovacím malwarem a dalším škodlivým programem BeaverTail . Ten je spojen se severokorejskými aktéry hrozeb a byl používán k zacílení na vývojáře, zejména v Jižní Koreji.
Jak se dodává Tropidoor: Phishingové kampaně s tematikou náboru
Kyberzločinci distribuovali Tropidoor pomocí phishingových e-mailů s náborovou tématikou. Tyto podvodné zprávy se vydávaly za nabídky práce z komunity DEV (dev.to) a obsahovaly odkazy na úložiště BitBucket hostující škodlivý kód. Úložiště zahrnovalo BeaverTail a downloader, který spouští Tropidoor.
Beyond DEV Community: LinkedIn a další útočné vektory
BeaverTail se široce rozšířil prostřednictvím phishingových kampaní na LinkedIn, přičemž jako návnada byly použity falešné pracovní nabídky. I když se tyto kampaně zaměřovaly na uživatele po celém světě, zdá se, že většina obětí je v Jižní Koreji.
Taktiky distribuce malwaru: phishing, malvertising a další
Malware jako Tropidoor je obvykle distribuován prostřednictvím:
- Phishingové e-maily s nebezpečnými přílohami nebo odkazy
- Průběžné stahování z napadených webů
- Malvertising (nebezpečné reklamy, které spouštějí stahování)
- Nedůvěryhodné zdroje softwaru, jako jsou freewarové stránky a P2P sítě
- Pirátský software a nelegální aktivační nástroje (crack)
- Falešné aktualizace softwaru
- Samostatně se šířící mechanismy využívající lokální sítě nebo USB disky
BitBucket Deception: The Phishing Tactic
Další pokus o phishing zahrnoval e-maily vydávající se za společnost s názvem AutoSquare. Oběti byly nasměrovány ke klonování projektu BitBucket, který obsahoval balíček npm obsahující jak BeaverTail, tak malware pro stahování DLL maskovaný jako car.dll. Tento stahovací program byl spuštěn prostřednictvím zloděje a zavaděče založeného na JavaScriptu.
Schopnosti Tropidoor: Výkonná kyberzbraň
Jakmile je Tropidoor spuštěn, pracuje v paměti a spolupracuje se svým Command and Control (C2) serverem. To umožňuje:
- Shromáždit informace o systému (název zařízení, podrobnosti o operačním systému, informace o hardwaru)
- Správa souborů (vyhledávání, mazání, stahování, shromažďování)
- Spustit a ukončit procesy
- Zachyťte snímky obrazovky
- Vkládání škodlivého kódu do běžících procesů
- Načtěte a spusťte užitečné zatížení v paměti
Vyvíjející se hrozba: Budoucnost Tropidooru
Vývojáři malwaru často vylepšují své nástroje a budoucí verze Tropidoor by mohly zavést nové funkce. Díky tomuto vývoji je pro týmy kybernetické bezpečnosti zásadní, aby zůstaly ostražité vůči vznikajícím hrozbám.
Spojení skupiny Lazarus: Známá taktika
Tropidoor sdílí podobnosti s LightlessCan , dalším malwarem používaným společností Lazarus Group , hackerskou organizací přidruženou k Severní Koreji. Stejně jako jeho předchůdce, BLINDINGCAN (aka AIRDRY nebo ZetaNile), Tropidoor přímo implementuje příkazy Windows, jako jsou schtasks, ping a reg, aby splynul s legitimní aktivitou systému.
Chraňte se: Zůstaňte v bezpečí před útoky Tropidoor
Aby se snížilo riziko infekce, uživatelé by měli:
- Buďte opatrní s e-mailovými přílohami a odkazy
- Vyhněte se stahování softwaru z neověřených zdrojů
- Udržujte opravy zabezpečení a software aktuální
Tím, že zůstanete ve střehu a budete se řídit osvědčenými postupy v oblasti kybernetické bezpečnosti, mohou se jednotlivci a organizace lépe bránit proti sofistikovaným hrozbám, jako je Tropidoor.
