Tropidoor Backdoor
Tropidoor yra grėsminga programa, kuri yra klasifikuojama kaip užpakalinės durys. Užpakalinės durys yra kenkėjiškų programų tipas, skirtas suteikti neteisėtą prieigą prie pažeistos sistemos. Kai kurie variantai taip pat gali atsisiųsti ir įdiegti papildomos kenkėjiškos programinės įrangos ar komponentų, padidindami atakos sunkumą.
Turinys
„Tropidoor“ ryšys su „BeaverTail“ ir Šiaurės Korėjos grėsmės veikėjais
„Tropidoor“ buvo pastebėtas kibernetinių atakų kampanijose kartu su kenkėjiška programine įranga ir kita žalinga programa „ BeaverTail“ . Pastarasis yra susijęs su Šiaurės Korėjos grėsmės veikėjais ir buvo naudojamas kūrėjams, ypač Pietų Korėjoje, nukreipti.
Kaip „Tropidoor“ pristatomas: įdarbinimo temos sukčiavimo kampanijos
Kibernetiniai nusikaltėliai išplatino „Tropidoor“ naudodami įdarbinimo tematikos sukčiavimo el. laiškus. Šiuose apgaulinguose pranešimuose buvo apsimetinėjami DEV bendruomenės (dev.to) darbo pasiūlymai ir buvo nuorodos į „BitBucket“ saugyklą, kurioje talpinamas kenkėjiškas kodas. Į saugyklą buvo įtraukta „BeaverTail“ ir atsisiuntimo programa, kuri vykdo „Tropidoor“.
Be DEV bendruomenės: LinkedIn ir kiti atakų vektoriai
BeaverTail buvo plačiai paplitęs per sukčiavimo kampanijas LinkedIn, naudojant netikrus darbo pasiūlymus kaip masalą. Nors šios kampanijos buvo skirtos naudotojams visame pasaulyje, atrodo, kad dauguma aukų yra Pietų Korėjoje.
Kenkėjiškų programų platinimo taktika: sukčiavimas, kenkėjiška reklama ir kt
Kenkėjiškos programos, tokios kaip Tropidoor, paprastai platinamos per:
- Sukčiavimo el. laiškai su nesaugiais priedais ar nuorodomis
- Greitai atsisiuntimai iš pažeistų svetainių
- Piktybinis reklamavimas (nesaugūs skelbimai, skatinantys atsisiuntimus)
- Nepatikimi programinės įrangos šaltiniai, pvz., nemokamos programos ir P2P tinklai
- Piratinė programinė įranga ir nelegalios aktyvinimo priemonės (įtrūkimai)
- Netikri programinės įrangos atnaujinimai
- Savaime plintantys mechanizmai naudojant vietinius tinklus arba USB diskus
„BitBucket“ apgaulė: sukčiavimo taktika
Kitas sukčiavimo bandymas buvo susijęs su el. laiškais, apsimetančiais įmone „AutoSquare“. Aukos buvo nukreiptos klonuoti BitBucket projektą, kuriame buvo npm paketas, kuriame yra ir BeaverTail, ir DLL parsisiuntimo programa, užmaskuota kaip car.dll. Ši parsisiuntimo programa buvo vykdoma naudojant „JavaScript“ pagrįstą vagį ir įkroviklį.
„Tropidoor“ galimybės: galingas kibernetinis ginklas
Įvykdžius, Tropidoor veikia atmintyje ir sąveikauja su savo komandų ir valdymo (C2) serveriu. Tai leidžia:
- Surinkite sistemos informaciją (įrenginio pavadinimą, OS informaciją, aparatinės įrangos informaciją)
- Tvarkyti failus (ieškoti, ištrinti, atsisiųsti, rinkti)
- Vykdyti ir nutraukti procesus
- Užfiksuokite ekrano kopijas
- Įkiškite kenkėjišką kodą į vykdomus procesus
- Įkelti ir vykdyti naudingus krovinius atmintyje
Besivystanti grėsmė: Tropidoor ateitis
Kenkėjiškų programų kūrėjai dažnai tobulina savo įrankius, o būsimose Tropidoor versijose gali būti įdiegtos naujos funkcijos. Dėl šios raidos kibernetinio saugumo komandoms labai svarbu išlikti budrioms dėl kylančių grėsmių.
„Lazarus“ grupės ryšys: pažįstama taktika
„Tropidoor“ turi panašumų su „LightlessCan“ – kita kenkėjiška programa, kurią naudoja „Lazarus Group“ , su Šiaurės Korėja susijusi programišių organizacija. Kaip ir jo pirmtakas BLINDINGCAN (dar žinomas kaip AIRDRY arba ZetaNile), Tropidoor tiesiogiai įgyvendina Windows komandas, tokias kaip schtasks, ping ir reg, kad susilietų su teisėta sistemos veikla.
Apsaugokite save: būkite saugūs nuo Tropidoor atakų
Norėdami sumažinti infekcijos riziką, vartotojai turėtų:
- Būkite atsargūs su el. pašto priedais ir nuorodomis
- Venkite atsisiųsti programinės įrangos iš nepatvirtintų šaltinių
- Atnaujinkite saugos pataisas ir programinę įrangą
Būdami budrūs ir vadovaudamiesi geriausios kibernetinio saugumo praktikos pavyzdžiais, asmenys ir organizacijos gali geriau apsisaugoti nuo sudėtingų grėsmių, tokių kaip Tropidoor.
