Tropidoor Backdoor
Tropidoor ir draudoša programma, kas tiek klasificēta kā aizmugures durvis. Aizmugurējās durvis ir ļaunprātīgas programmatūras veids, kas paredzēts, lai nodrošinātu nesankcionētu piekļuvi uzlauztai sistēmai. Daži varianti var arī lejupielādēt un instalēt papildu ļaunprātīgu programmatūru vai komponentus, palielinot uzbrukuma nopietnību.
Satura rādītājs
Tropidoor saikne ar BeaverTail un Ziemeļkorejas draudu aktieriem
Tropidoor ir novērots kiberuzbrukumu kampaņās kopā ar ļaunprātīgu programmatūru lejupielādētāju un citu kaitīgu programmu BeaverTail . Pēdējais ir saistīts ar Ziemeļkorejas apdraudējuma dalībniekiem un ir izmantots, lai mērķētu uz izstrādātājiem, jo īpaši Dienvidkorejā.
Kā tiek piegādāts Tropidoor: vervēšanas tēmas pikšķerēšanas kampaņas
Kibernoziedznieki ir izplatījuši Tropidoor, izmantojot vervēšanas tēmas pikšķerēšanas e-pastus. Šajos krāpnieciskajos ziņojumos tika uzdoti darba piedāvājumi no DEV kopienas (dev.to), un tajos bija saites uz BitBucket repozitoriju, kurā tiek mitināts ļaunprātīgs kods. Repozitorijā bija BeaverTail un lejupielādētājs, kas izpilda Tropidoor.
Ārpus DEV kopienas: LinkedIn un citi uzbrukuma vektori
BeaverTail ir plaši izplatīts, izmantojot pikšķerēšanas kampaņas vietnē LinkedIn, kā ēsmu izmantojot viltus darba piedāvājumus. Lai gan šo kampaņu mērķauditorija ir lietotāji visā pasaulē, šķiet, ka lielākā daļa upuru ir Dienvidkorejā.
Ļaunprātīgas programmatūras izplatīšanas taktika: pikšķerēšana, ļaunprātīga izmantošana un citi
Ļaunprātīga programmatūra, piemēram, Tropidoor, parasti tiek izplatīta, izmantojot:
- Pikšķerēšanas e-pasta ziņojumi ar nedrošiem pielikumiem vai saitēm
- Automātiskas lejupielādes no apdraudētām vietnēm
- Ļaunprātīga reklamēšana (nedrošas reklāmas, kas izraisa lejupielādi)
- Neuzticami programmatūras avoti, piemēram, bezmaksas programmatūras vietnes un P2P tīkli
- Pirātiska programmatūra un nelegāli aktivizācijas rīki (plaisas)
- Viltus programmatūras atjauninājumi
- Pašizplatīšanās mehānismi, izmantojot vietējos tīklus vai USB diskus
BitBucket maldināšana: pikšķerēšanas taktika
Vēl viens pikšķerēšanas mēģinājums bija saistīts ar e-pasta ziņojumiem, kas uzdodas par uzņēmumu AutoSquare. Upuri tika aicināti klonēt BitBucket projektu, kurā bija iekļauta npm pakotne, kurā atradās gan BeaverTail, gan ļaunprogrammatūra DLL lejupielādētājam, kas slēpta kā car.dll. Šis lejupielādētājs tika izpildīts, izmantojot uz JavaScript balstītu zagli un ielādētāju.
Tropidoor iespējas: spēcīgs kiberierocis
Pēc izpildes Tropidoor darbojas atmiņā un mijiedarbojas ar savu komandu un vadības (C2) serveri. Tas ļauj:
- Sistēmas informācijas apkopošana (ierīces nosaukums, OS informācija, aparatūras informācija)
- Pārvaldīt failus (meklēt, dzēst, lejupielādēt, apkopot)
- Izpildīt un pārtraukt procesus
- Uzņemiet ekrānuzņēmumus
- Ievadiet kaitīgo kodu darbojošos procesos
- Ielādēt un izpildīt lietderīgās slodzes atmiņā
Attīstošs drauds: Tropidoor nākotne
Ļaunprātīgas programmatūras izstrādātāji bieži uzlabo savus rīkus, un nākamās Tropidoor versijas varētu ieviest jaunas funkcijas. Šī evolūcija padara kiberdrošības komandām ļoti svarīgu saglabāt modrību pret jauniem draudiem.
Lācara grupas savienojums: pazīstama taktika
Tropidoor ir līdzīgas ar LightlessCan , citu ļaunprātīgu programmatūru, ko izmanto Lazarus Group , ar Ziemeļkoreju saistīta hakeru organizācija. Tāpat kā tā priekšgājējs BLINDINGCAN (pazīstams arī kā AIRDRY vai ZetaNile), Tropidoor tieši ievieš Windows komandas, piemēram, schtasks, ping un reg, lai apvienotos ar likumīgām sistēmas darbībām.
Aizsargājiet sevi: pasargājieties no Tropidoor uzbrukumiem
Lai samazinātu inficēšanās risku, lietotājiem:
- Esiet piesardzīgs ar e-pasta pielikumiem un saitēm
- Izvairieties no programmatūras lejupielādes no nepārbaudītiem avotiem
- Atjauniniet drošības labojumus un programmatūru
Saglabājot modrību un ievērojot kiberdrošības paraugpraksi, personas un organizācijas var labāk aizsargāties pret sarežģītiem draudiem, piemēram, Tropidoor.
