Tropidoor tagauks
Tropidoor on ähvardav programm, mis on klassifitseeritud tagaukseks. Tagauksed on teatud tüüpi pahavara, mis on loodud selleks, et võimaldada volitamata juurdepääsu ohustatud süsteemile. Mõned variandid võivad alla laadida ja installida ka täiendavat ründetarkvara või -komponente, mis suurendab rünnaku tõsidust.
Sisukord
Tropidoori seos BeaverTaili ja Põhja-Korea ohunäitlejatega
Tropidoori on täheldatud küberrünnakute kampaaniates koos allalaadija pahavara ja teise kahjuliku programmiga BeaverTail . Viimane on seotud Põhja-Korea ohustajatega ja seda on kasutatud arendajate sihtimiseks, eriti Lõuna-Koreas.
Kuidas Tropidoor tarnitakse: värbamisteemalised andmepüügikampaaniad
Küberkurjategijad on Tropidoori levitanud, kasutades värbamisteemalisi andmepüügimeile. Need petturlikud sõnumid esinesid DEV kogukonna (dev.to) tööpakkumistena ja sisaldasid linke BitBucketi hoidlale, mis majutab pahatahtlikku koodi. Hoidlas oli BeaverTail ja allalaadija, mis käivitab Tropidoor.
Väljaspool DEV-i kogukonda: LinkedIn ja muud rünnakuvektorid
BeaverTail on laialdaselt levinud LinkedIni andmepüügikampaaniate kaudu, kasutades söödana võltsitud tööpakkumisi. Kuigi need kampaaniad on suunatud kasutajatele kogu maailmas, näib enamik ohvreid olevat Lõuna-Koreas.
Pahavara levitamise taktikad: andmepüük, ründetegevus ja palju muud
Pahavara nagu Tropidoor levitatakse tavaliselt:
- Ebaturvaliste manuste või linkidega andmepüügimeilid
- Ohutud veebisaitidelt allalaaditavad allalaadimised
- Pahareklaam (ebaturvalised reklaamid, mis käivitavad allalaadimisi)
- Ebausaldusväärsed tarkvaraallikad, nagu vabavara saidid ja P2P-võrgud
- Piraattarkvara ja ebaseaduslikud aktiveerimistööriistad (praod)
- Võlts tarkvaravärskendused
- Kohalike võrkude või USB-draivide abil levivad mehhanismid
BitBucketi petmine: andmepüügitaktika
Teine andmepüügikatse hõlmas e-kirju, mis kehastasid ettevõtet nimega AutoSquare. Ohvrid suunati kloonima BitBucketi projekti, mis sisaldas npm-paketti, mis sisaldas nii BeaverTaili kui ka DLL-i allalaadija pahavara, mis oli maskeeritud nimega car.dll. See allalaadija käivitati JavaScript-põhise varguse ja laadija kaudu.
Tropidoori võimalused: võimas küberrelv
Pärast käivitamist töötab Tropidoor mälus ja suhtleb oma käsu- ja juhtimisserveriga (C2). See võimaldab tal:
- Koguge süsteemiteavet (seadme nimi, OS-i üksikasjad, riistvarateave)
- Hallake faile (otsige, kustutage, laadige alla, koguge)
- Käivitage ja lõpetage protsesse
- Jäädvustage ekraanipilte
- Sisestage töötavatesse protsessidesse pahatahtlikku koodi
- Laadige ja käivitage kasulikud koormused mällu
Arenev oht: Tropidoori tulevik
Pahavara arendajad täiustavad sageli oma tööriistu ja Tropidoori tulevased versioonid võivad kasutusele võtta uusi funktsioone. See areng muudab küberjulgeolekumeeskondade jaoks kriitilise tähtsusega valvsa tekkivate ohtude suhtes.
Lazaruse rühma ühendus: tuttav taktika
Tropidoor jagab sarnasusi LightlessCaniga , teise pahavaraga, mida kasutab Põhja-Koreaga seotud häkkimisorganisatsioon Lazarus Group . Nagu tema eelkäija BLINDINGCAN (teise nimega AIRDRY või ZetaNile), rakendab Tropidoor otse Windowsi käske, nagu schtasks, ping ja reg, et sulanduda seadusliku süsteemitegevusega.
Kaitske ennast: kaitske end Tropidoori rünnakute eest
Nakatumise ohu vähendamiseks peaksid kasutajad:
- Olge e-kirjade manuste ja linkidega ettevaatlik
- Vältige tarkvara allalaadimist kontrollimata allikatest
- Hoidke turvaparandused ja tarkvara ajakohasena
- Kasutage tugevaid unikaalseid paroole
- Kasutage mainekaid pahavaravastaseid ja lõpp-punktide kaitse tööriistu
Olles valvas ja järgides küberturvalisuse parimaid tavasid, saavad üksikisikud ja organisatsioonid paremini kaitsta keeruliste ohtude, nagu Tropidoor, eest.
