Tropidoor Backdoor

Tropidoor یک برنامه تهدید کننده است که به عنوان یک درب پشتی طبقه بندی می شود. درهای پشتی نوعی بدافزار هستند که برای دسترسی غیرمجاز به یک سیستم در معرض خطر طراحی شده اند. برخی از انواع نیز می توانند نرم افزار یا مؤلفه های مخرب اضافی را دانلود و نصب کنند و شدت حمله را افزایش دهند.

ارتباط Tropidoor با BeaverTail و بازیگران تهدید کره شمالی

Tropidoor در کمپین های حمله سایبری در کنار یک بدافزار دانلود کننده و برنامه مضر دیگری به نام BeaverTail مشاهده شده است. مورد دوم با عوامل تهدید کره شمالی مرتبط است و برای هدف قرار دادن توسعه دهندگان، به ویژه در کره جنوبی استفاده شده است.

Tropidoor چگونه ارائه می شود: کمپین های فیشینگ با موضوع استخدام

مجرمان سایبری Tropidoor را با استفاده از ایمیل های فیشینگ با موضوع استخدام توزیع کرده اند. این پیام‌های جعلی پیشنهادهای شغلی از انجمن DEV (dev.to) را جعل می‌کردند و حاوی پیوندهایی به مخزن BitBucket بود که میزبان کدهای مخرب است. این مخزن شامل BeaverTail و دانلود کننده ای بود که Tropidoor را اجرا می کند.

فراتر از انجمن DEV: لینکدین و سایر بردارهای حمله

BeaverTail به طور گسترده از طریق کمپین های فیشینگ در لینکدین، با استفاده از پیشنهادهای شغلی جعلی به عنوان طعمه، گسترش یافته است. در حالی که این کمپین ها کاربران در سراسر جهان را هدف قرار داده اند، به نظر می رسد اکثر قربانیان در کره جنوبی باشند.

تاکتیک های توزیع بدافزار: فیشینگ، بدافزار و موارد دیگر

بدافزار مانند Tropidoor معمولاً از طریق:

• ایمیل های فیشینگ با پیوست ها یا پیوندهای ناامن
• دانلودهای درایو از وب سایت های در معرض خطر
• تبلیغات نادرست (تبلیغات ناامن که باعث دانلود می شوند)
• منابع نرم افزاری غیرقابل اعتماد، مانند سایت های نرم افزار رایگان و شبکه های P2P
• نرم افزار دزدی دریایی و ابزارهای فعال سازی غیرقانونی (کرک)
• به روز رسانی های جعلی نرم افزار
• مکانیسم های خودگسترش با استفاده از شبکه های محلی یا درایوهای USB

فریب بیت باکت: تاکتیک فیشینگ

یکی دیگر از تلاش‌های فیشینگ شامل ایمیل‌هایی بود که جعل هویت شرکتی به نام AutoSquare بودند. قربانیان هدایت شدند تا پروژه BitBucket را شبیه سازی کنند، که حاوی یک بسته npm بود که هم BeaverTail و هم یک بدافزار دانلود کننده DLL پنهان شده به عنوان car.dll را در خود جای داده بود. این دانلودر از طریق یک دزد و لودر مبتنی بر جاوا اسکریپت اجرا شد.

قابلیت های Tropidoor: یک سلاح سایبری قدرتمند

پس از اجرا، Tropidoor در حافظه کار می کند و با سرور فرمان و کنترل (C2) خود تعامل دارد. این به آن اجازه می دهد:

• جمع آوری اطلاعات سیستم (نام دستگاه، جزئیات سیستم عامل، اطلاعات سخت افزار)
• مدیریت فایل ها (جستجو، حذف، دانلود، جمع آوری)
• فرآیندها را اجرا و خاتمه دهید
• گرفتن اسکرین شات
• کدهای مخرب را به فرآیندهای در حال اجرا تزریق کنید
• بارگذاری و اجرای محموله ها در حافظه

یک تهدید در حال تحول: آینده تروپیدور

توسعه دهندگان بدافزار اغلب ابزارهای خود را بهبود می بخشند و نسخه های آینده Tropidoor می توانند عملکردهای جدیدی را معرفی کنند. این تکامل، هوشیاری تیم‌های امنیت سایبری را در برابر تهدیدات نوظهور ضروری می‌سازد.

اتصال گروه لازاروس: یک تاکتیک آشنا

Tropidoor شباهت هایی با LightlessCan دارد، بدافزار دیگری که توسط Lazarus Group ، یک سازمان هکر وابسته به کره شمالی استفاده می شود. مانند نسخه قبلی خود BLINDINGCAN (معروف به AIRDRY یا ZetaNile)، Tropidoor به طور مستقیم دستورات ویندوز مانند schtasks، ping و reg را اجرا می کند تا با فعالیت قانونی سیستم ترکیب شود.

از خود محافظت کنید: از حملات Tropidoor در امان بمانید

برای کاهش خطر عفونت، کاربران باید:

• در مورد پیوست ها و پیوندهای ایمیل محتاط باشید
• از دانلود نرم افزار از منابع تایید نشده خودداری کنید
• اصلاحات امنیتی و نرم افزار را به روز نگه دارید

با هوشیاری و پیروی از بهترین شیوه های امنیت سایبری، افراد و سازمان ها بهتر می توانند در برابر تهدیدات پیچیده ای مانند Tropidoor دفاع کنند.