Tropidoor Backdoor
Tropidoor on uhkaava ohjelma, joka on luokiteltu takaoveksi. Takaovet ovat haittaohjelmia, jotka on suunniteltu tarjoamaan luvaton pääsy vaarantuneeseen järjestelmään. Jotkut versiot voivat myös ladata ja asentaa lisää haittaohjelmia tai komponentteja, mikä lisää hyökkäyksen vakavuutta.
Sisällysluettelo
Tropidoorin yhteys BeaverTailiin ja pohjoiskorealaisiin uhkanäyttelijöihin
Tropidooria on havaittu kyberhyökkäyskampanjoissa lataushaittaohjelman ja toisen haitallisen BeaverTail -nimisen ohjelman ohella. Jälkimmäinen liittyy Pohjois-Korean uhkatoimijoihin, ja sitä on käytetty kehittäjien kohdistamiseen erityisesti Etelä-Koreassa.
Kuinka Tropidoor toimitetaan: Rekrytointiaiheiset tietojenkalastelukampanjat
Kyberrikolliset ovat levittäneet Tropidooria rekrytointiaiheisten tietojenkalasteluviestien avulla. Nämä vilpilliset viestit jäljittelivät DEV-yhteisön (dev.to) työtarjouksia ja sisälsivät linkkejä BitBucket-tietovarastoon, jossa oli haitallista koodia. Arkisto sisälsi BeaverTailin ja latausohjelman, joka suorittaa Tropidoorin.
Beyond DEV Community: LinkedIn ja muut hyökkäysvektorit
BeaverTail on levinnyt laajalti tietojenkalastelukampanjoiden kautta LinkedInissä käyttämällä väärennettyjä työtarjouksia syöttinä. Vaikka nämä kampanjat ovat kohdistettu käyttäjiin maailmanlaajuisesti, suurin osa uhreista näyttää olevan Etelä-Koreassa.
Haittaohjelmien levitystaktiikat: tietojenkalastelu, haittaohjelma ja paljon muuta
Tropidoorin kaltaisia haittaohjelmia levitetään yleensä seuraavien kautta:
- Tietojenkalasteluviestit, joissa on vaarallisia liitteitä tai linkkejä
- Drive-by-lataukset vaarantuneista verkkosivustoista
- Haitallinen mainonta (vaaralliset mainokset, jotka käynnistävät latauksia)
- Epäluotettavat ohjelmistolähteet, kuten ilmaisohjelmasivustot ja P2P-verkot
- Piraattiohjelmistot ja laittomat aktivointityökalut (halkeamat)
- Väärennetyt ohjelmistopäivitykset
- Itseleviävät mekanismit paikallisten verkkojen tai USB-asemien avulla
BitBucket Deception: The Phishing Tactic
Toinen tietojenkalasteluyritys sisälsi sähköposteja, joissa esiintyi AutoSquare-niminen yritys. Uhrit ohjattiin kloonaamaan BitBucket-projektia, joka sisälsi npm-paketin, joka sisälsi sekä BeaverTailin että DLL-latausohjelman, joka oli naamioitu nimellä car.dll. Tämä latausohjelma suoritettiin JavaScript-pohjaisen varastajan ja latausohjelman kautta.
Tropidoorin ominaisuudet: Tehokas kyberase
Kun Tropidoor on suoritettu, se toimii muistissa ja on vuorovaikutuksessa Command and Control (C2) -palvelimensa kanssa. Tämä mahdollistaa sen:
- Kerää järjestelmätiedot (laitteen nimi, käyttöjärjestelmätiedot, laitteistotiedot)
- Hallitse tiedostoja (hae, poista, lataa, kerää)
- Suorita ja lopeta prosesseja
- Ota kuvakaappauksia
- Lisää haitallista koodia käynnissä oleviin prosesseihin
- Lataa ja suorita hyötykuormia muistissa
Kehittyvä uhka: Tropidoorin tulevaisuus
Haittaohjelmien kehittäjät parantavat usein työkalujaan, ja Tropidoorin tulevat versiot saattavat tuoda uusia toimintoja. Tämän kehityksen vuoksi kyberturvatiimien on erittäin tärkeää pysyä valppaana uusia uhkia vastaan.
Lazarus Group Connection: tuttu taktiikka
Tropidoorilla on yhtäläisyyksiä LightlessCanin kanssa, joka on toinen Pohjois-Koreaan kuuluvan hakkerointiorganisaation Lazarus Groupin käyttämä haittaohjelma. Kuten edeltäjänsä, BLINDINGCAN (alias AIRDRY tai ZetaNile), Tropidoor toteuttaa suoraan Windows-komentoja, kuten schtasks, ping ja reg sulautuakseen lailliseen järjestelmätoimintoon.
Suojaa itseäsi: Pysy turvassa Tropidoor-hyökkäyksiltä
Infektioriskin vähentämiseksi käyttäjien tulee:
- Ole varovainen sähköpostin liitteiden ja linkkien kanssa
- Vältä lataamasta ohjelmistoja vahvistamattomista lähteistä
- Pidä tietoturvakorjaukset ja ohjelmistot ajan tasalla
Pysymällä valppaana ja noudattamalla kyberturvallisuuden parhaita käytäntöjä yksilöt ja organisaatiot voivat suojautua paremmin kehittyneiltä uhilta, kuten Tropidoor.
