Tropidoor Bakdør
Tropidoor er et truende program som er klassifisert som en bakdør. Bakdører er en type skadelig programvare designet for å gi uautorisert tilgang til et kompromittert system. Noen varianter kan også laste ned og installere ytterligere skadelig programvare eller komponenter, noe som øker alvorlighetsgraden av et angrep.
Innholdsfortegnelse
Tropidoors forbindelse til BeaverTail og nordkoreanske trusselaktører
Tropidoor har blitt observert i nettangrepskampanjer sammen med en skadelig programvare for nedlasting og et annet skadelig program kalt BeaverTail . Sistnevnte er knyttet til nordkoreanske trusselaktører og har blitt brukt til å målrette mot utviklere, spesielt i Sør-Korea.
Hvordan Tropidoor leveres: Phishing-kampanjer med rekrutteringstema
Nettkriminelle har distribuert Tropidoor ved hjelp av phishing-e-poster med rekrutteringstema. Disse falske meldingene etterlignet jobbtilbud fra DEV-fellesskapet (dev.to) og inneholdt koblinger til et BitBucket-lager som var vert for ondsinnet kode. Depotet inkluderte BeaverTail og nedlasteren som kjører Tropidoor.
Beyond DEV Community: LinkedIn og andre angrepsvektorer
BeaverTail har blitt vidt spredt gjennom phishing-kampanjer på LinkedIn, med falske jobbtilbud som agn. Selv om disse kampanjene har målrettet brukere over hele verden, ser det ut til at flertallet av ofrene er i Sør-Korea.
Taktikk for distribusjon av skadelig programvare: phishing, malvertising og mer
Skadelig programvare som Tropidoor distribueres vanligvis gjennom:
- Phishing-e-poster med usikre vedlegg eller linker
- Drive-by-nedlastinger fra kompromitterte nettsteder
- Malvertising (usikre annonser som utløser nedlastinger)
- Upålitelige programvarekilder, som freeware-nettsteder og P2P-nettverk
- Piratkopiert programvare og ulovlige aktiveringsverktøy (cracks)
- Falske programvareoppdateringer
- Selvspredningsmekanismer ved hjelp av lokale nettverk eller USB-stasjoner
BitBucket Deception: Phishing-taktikken
Et annet phishing-forsøk involverte e-poster som utgir seg for å være et selskap kalt AutoSquare. Ofrene ble bedt om å klone et BitBucket-prosjekt, som inneholdt en npm-pakke som inneholdt både BeaverTail og en DLL-nedlaster malware forkledd som car.dll. Denne nedlasteren ble utført via en JavaScript-basert stjeler og laster.
Tropidoors evner: Et kraftig cybervåpen
Når den er utført, opererer Tropidoor i minnet og samhandler med kommando- og kontrollserveren (C2). Dette gjør det mulig å:
- Samle systeminformasjon (enhetsnavn, OS-detaljer, maskinvareinformasjon)
- Administrer filer (søk, slett, last ned, samle)
- Utføre og avslutte prosesser
- Ta skjermbilder
- Injiser ondsinnet kode i kjørende prosesser
- Last inn og utfør nyttelast i minnet
An Evolving Threat: The Future of Tropidoor
Skadevareutviklere forbedrer ofte verktøyene sine, og fremtidige versjoner av Tropidoor kan introdusere nye funksjoner. Denne utviklingen gjør det avgjørende for cybersikkerhetsteam å være årvåkne mot nye trusler.
The Lazarus Group Connection: En kjent taktikk
Tropidoor deler likheter med LightlessCan , en annen skadelig programvare som brukes av Lazarus Group , en nordkoreansk-tilknyttet hackerorganisasjon. Som sin forgjenger, BLINDINGCAN (aka AIRDRY eller ZetaNile), implementerer Tropidoor direkte Windows-kommandoer som schtasks, ping og reg for å blande seg inn med legitim systemaktivitet.
Beskytt deg selv: Hold deg trygg mot Tropidoor-angrep
For å redusere risikoen for infeksjon, bør brukere:
- Vær forsiktig med e-postvedlegg og lenker
- Unngå å laste ned programvare fra ubekreftede kilder
- Hold sikkerhetsreparasjoner og programvare oppdatert
- Bruk sterke, unike passord
- Bruk anerkjente verktøy for anti-malware og endepunktbeskyttelse
Ved å være på vakt og følge beste praksis for cybersikkerhet, kan enkeltpersoner og organisasjoner bedre forsvare seg mot sofistikerte trusler som Tropidoor.
