Tropidoor Backdoor

Tropidoor היא תוכנית מאיימת המסווגת כדלת אחורית. דלתות אחוריות הן סוג של תוכנות זדוניות שנועדו לספק גישה לא מורשית למערכת שנפגעה. גרסאות מסוימות יכולות גם להוריד ולהתקין תוכנות או רכיבים זדוניים נוספים, מה שמגביר את חומרת ההתקפה.

החיבור של Tropidoor ל-BeaverTail ושחקני האיום של צפון קוריאה

Tropidoor נצפתה בקמפיינים של מתקפות סייבר לצד תוכנה זדונית להורדה ותוכנית מזיקה נוספת בשם BeaverTail . האחרון מקושר לגורמי איומים צפון קוריאנים ושימש למטרות מפתחים, במיוחד בדרום קוריאה.

איך Tropidoor מסופקת: מסעות פרסום דיוג בנושא גיוס

פושעי סייבר הפיצו את Tropidoor באמצעות הודעות דיוג בנושא גיוס. הודעות הונאה אלו התחזו להצעות עבודה מקהילת DEV (dev.to) והכילו קישורים למאגר BitBucket המארח קוד זדוני. המאגר כלל את BeaverTail ואת ההורדה שמפעילה את Tropidoor.

מעבר לקהילת ה-DEV: לינקדאין ווקטורי תקיפה אחרים

BeaverTail הופצה באופן נרחב באמצעות קמפיינים של פישינג בלינקדאין, תוך שימוש בהצעות עבודה מזויפות כפיתיון. בעוד שמסעות פרסום אלה כוונו למשתמשים ברחבי העולם, נראה שרוב הקורבנות נמצאים בדרום קוריאה.

טקטיקות הפצה של תוכנות זדוניות: פישינג, פרסום מזוייף ועוד

תוכנה זדונית כמו Tropidoor מופצת בדרך כלל באמצעות:

• הודעות דיוג עם קבצים מצורפים או קישורים לא בטוחים
• הורדות ב-drive-by מאתרים שנפגעו
• Malvertising (פרסומות לא בטוחות שמפעילות הורדות)
• מקורות תוכנה לא אמינים, כגון אתרי תוכנה חופשית ורשתות P2P
• תוכנות פיראטיות וכלי הפעלה לא חוקיים (קראקים)
• עדכוני תוכנה מזויפים
• מנגנוני התפשטות עצמית באמצעות רשתות מקומיות או כונני USB

BitBucket Deception: The Phishing Tactic

ניסיון פישינג נוסף כלל מיילים שהתחזות לחברה בשם AutoSquare. הקורבנות הופנו לשבט פרויקט BitBucket, שהכיל חבילת npm המכילה גם את BeaverTail וגם תוכנה זדונית של הורדת DLL, המסווה ל-car.dll. הורדה זו בוצעה באמצעות גנב ומטעין מבוסס JavaScript.

היכולות של Tropidoor: נשק סייבר חזק

לאחר הביצוע, Tropidoor פועלת בזיכרון ומקיימת אינטראקציה עם שרת הפיקוד והבקרה (C2) שלה. זה מאפשר לו:

• איסוף מידע מערכת (שם מכשיר, פרטי מערכת הפעלה, מידע חומרה)
• נהל קבצים (חפש, מחק, הורדה, איסוף)
• ביצוע והפסקת תהליכים
• צלם צילומי מסך
• הזרקת קוד זדוני לתהליכים פועלים
• טען והפעל מטענים בזיכרון

איום מתפתח: העתיד של טרופידור

מפתחי תוכנות זדוניות משפרים לעתים קרובות את הכלים שלהם, וגרסאות עתידיות של Tropidoor עשויות להציג פונקציות חדשות. התפתחות זו הופכת את זה קריטי עבור צוותי אבטחת סייבר להישאר ערניים מפני איומים מתעוררים.

קשר קבוצת לזרוס: טקטיקה מוכרת

Tropidoor חולקת קווי דמיון עם LightlessCan , תוכנה זדונית נוספת המשמשת את Lazarus Group , ארגון פריצה המזוהה עם צפון קוריאה. כמו קודמו, BLINDINGCAN (המכונה גם AIRDRY או ZetaNile), Tropidoor מיישמת ישירות פקודות Windows כגון schtasks, ping ו-reg כדי להשתלב עם פעילות מערכת לגיטימית.

הגן על עצמך: הישאר בטוח מפני התקפות טרופידור

כדי להפחית את הסיכון לזיהום, המשתמשים צריכים:

• היזהר עם קבצים מצורפים לדוא"ל וקישורים
• הימנע מהורדת תוכנות ממקורות לא מאומתים
• שמור על תיקוני אבטחה ותוכנות עדכניות
• השתמש בסיסמאות חזקות וייחודיות

• השתמש בכלי הגנה מפני תוכנות זדוניות ונקודות קצה מכובדות

על ידי שמירה על ערנות ומעקב אחר שיטות עבודה מומלצות לאבטחת סייבר, אנשים וארגונים יכולים להתגונן טוב יותר מפני איומים מתוחכמים כמו Tropidoor.