Tropidoor Stražnja vrata
Tropidoor je prijeteći program koji je klasificiran kao backdoor. Stražnja vrata su vrsta zlonamjernog softvera dizajniranog da omogući neovlašteni pristup ugroženom sustavu. Neke varijante također mogu preuzeti i instalirati dodatni zlonamjerni softver ili komponente, povećavajući ozbiljnost napada.
Sadržaj
Tropidoorova veza s BeaverTailom i sjevernokorejskim akterima prijetnje
Tropidoor je primijećen u kampanjama cyber napada zajedno sa zlonamjernim softverom za preuzimanje i drugim štetnim programom pod nazivom BeaverTail . Potonji je povezan sa sjevernokorejskim akterima prijetnje i korišten je za ciljanje programera, posebno u Južnoj Koreji.
Kako se isporučuje Tropidoor: phishing kampanje s temom zapošljavanja
Cyberkriminalci su distribuirali Tropidoor koristeći phishing e-poruke s temom zapošljavanja. Ove lažne poruke oponašale su ponude za posao iz DEV zajednice (dev.to) i sadržavale poveznice na BitBucket repozitorij koji hostira zlonamjerni kod. Repozitorij je uključivao BeaverTail i downloader koji izvršava Tropidoor.
Izvan DEV zajednice: LinkedIn i drugi vektori napada
BeaverTail je naširoko raširen putem phishing kampanja na LinkedInu, koristeći lažne ponude za posao kao mamac. Iako su ove kampanje ciljale korisnike širom svijeta, čini se da je većina žrtava u Južnoj Koreji.
Taktike distribucije zlonamjernog softvera: krađa identiteta, zlonamjerno oglašavanje i više
Zlonamjerni softver poput Tropidoora obično se distribuira putem:
- E-poruke za krađu identiteta s nesigurnim privicima ili poveznicama
- Drive-by preuzimanja s ugroženih web-mjesta
- Zlonamjerno oglašavanje (nesigurne reklame koje pokreću preuzimanja)
- Nepouzdani izvori softvera, kao što su stranice s besplatnim softverom i P2P mreže
- Piratski softver i ilegalni alati za aktivaciju (crackovi)
- Lažna ažuriranja softvera
- Mehanizmi koji se sami šire koristeći lokalne mreže ili USB pogone
BitBucket prijevara: taktika krađe identiteta
Još jedan pokušaj krađe identiteta uključivao je e-poštu koja je lažno predstavljala tvrtku AutoSquare. Žrtve su upućene da kloniraju BitBucket projekt, koji je sadržavao npm paket koji sadrži i BeaverTail i zlonamjerni softver za preuzimanje DLL-a prerušen u car.dll. Ovaj program za preuzimanje pokrenut je putem programa za krađu i učitavanje temeljenog na JavaScriptu.
Tropidoorove mogućnosti: moćno kibernetičko oružje
Nakon što se izvrši, Tropidoor radi u memoriji i komunicira sa svojim poslužiteljem za upravljanje i kontrolu (C2). To mu omogućuje da:
- Prikupite informacije o sustavu (naziv uređaja, pojedinosti o OS-u, informacije o hardveru)
- Upravljanje datotekama (pretraživanje, brisanje, preuzimanje, prikupljanje)
- Izvršavanje i prekidanje procesa
- Snimite snimke zaslona
- Umetnite zlonamjerni kod u pokrenute procese
- Učitaj i izvrši korisni teret u memoriji
Prijetnja koja se razvija: Budućnost Tropidoora
Programeri zlonamjernog softvera često poboljšavaju svoje alate, a buduće verzije Tropidoora mogle bi uvesti nove funkcionalnosti. Ova evolucija čini ključnim za timove za kibernetičku sigurnost da ostanu oprezni protiv novih prijetnji.
Veza grupe Lazarus: poznata taktika
Tropidoor dijeli sličnosti s LightlessCan-om , drugim malwareom koji koristi Lazarus Group , hakerska organizacija povezana sa Sjevernom Korejom. Kao i njegov prethodnik, BLINDINGCAN (aka AIRDRY ili ZetaNile), Tropidoor izravno implementira Windows naredbe kao što su schtasks, ping i reg kako bi se uklopio s legitimnom aktivnošću sustava.
Zaštitite se: zaštitite se od napada Tropidoora
Kako bi smanjili rizik od infekcije, korisnici bi trebali:
- Budite oprezni s privicima i poveznicama e-pošte
- Izbjegavajte preuzimanje softvera iz neprovjerenih izvora
- Održavajte sigurnosne popravke i softver ažuriranima
- Koristite jake, jedinstvene lozinke
- Upotrijebite renomirane alate za zaštitu od zlonamjernog softvera i krajnje točke
Održavajući oprez i slijedeći najbolje prakse kibersigurnosti, pojedinci i organizacije mogu se bolje obraniti od sofisticiranih prijetnji kao što je Tropidoor.
