Тропидор Бэкдор
Tropidoor — это опасная программа, которая классифицируется как бэкдор. Бэкдоры — это тип вредоносного ПО, предназначенного для предоставления несанкционированного доступа к скомпрометированной системе. Некоторые варианты также могут загружать и устанавливать дополнительное вредоносное ПО или компоненты, увеличивая серьезность атаки.
Оглавление
Связь Tropidoor с BeaverTail и северокорейскими злоумышленниками
Tropidoor был замечен в кибератаках вместе с вредоносным ПО-загрузчиком и другой вредоносной программой под названием BeaverTail . Последняя связана с северокорейскими злоумышленниками и использовалась для атаки на разработчиков, особенно в Южной Корее.
Как работает Tropidoor: фишинговые кампании с целью вербовки
Киберпреступники распространяли Tropidoor с помощью фишинговых писем с рекрутинговой тематикой. Эти мошеннические сообщения выдавали себя за предложения работы от сообщества DEV (dev.to) и содержали ссылки на репозиторий BitBucket, содержащий вредоносный код. Репозиторий включал BeaverTail и загрузчик, который запускает Tropidoor.
За пределами сообщества DEV: LinkedIn и другие векторы атак
BeaverTail широко распространялся через фишинговые кампании на LinkedIn, используя поддельные предложения о работе в качестве приманки. Хотя эти кампании были нацелены на пользователей по всему миру, большинство жертв, по-видимому, находятся в Южной Корее.
Тактика распространения вредоносного ПО: фишинг, вредоносная реклама и многое другое
Вредоносное ПО, подобное Tropidoor, обычно распространяется через:
- Фишинговые письма с небезопасными вложениями или ссылками
- Скрытые загрузки с взломанных веб-сайтов
- Вредоносная реклама (небезопасная реклама, вызывающая загрузки)
- Ненадежные источники программного обеспечения, такие как сайты с бесплатным программным обеспечением и сети P2P
- Пиратское программное обеспечение и нелегальные инструменты активации (кряки)
- Поддельные обновления программного обеспечения
- Механизмы самораспространения с использованием локальных сетей или USB-накопителей
Обман BitBucket: тактика фишинга
Другая попытка фишинга включала электронные письма, выдававшие себя за компанию AutoSquare. Жертвам было предложено клонировать проект BitBucket, содержащий пакет npm, содержащий как BeaverTail, так и вредоносную программу-загрузчик DLL, замаскированную под car.dll. Этот загрузчик был запущен с помощью похитителя и загрузчика на основе JavaScript.
Возможности Tropidoor: мощное кибероружие
После запуска Tropidoor работает в памяти и взаимодействует со своим сервером управления и контроля (C2). Это позволяет ему:
- Соберите системную информацию (имя устройства, сведения об ОС, информация об оборудовании)
- Управление файлами (поиск, удаление, загрузка, сбор)
- Выполнение и завершение процессов
- Делайте снимки экрана
- Внедрить вредоносный код в запущенные процессы
- Загрузка и выполнение полезных данных в памяти
Растущая угроза: будущее Tropidoor
Разработчики вредоносного ПО часто совершенствуют свои инструменты, и будущие версии Tropidoor могут представить новые функции. Эта эволюция делает критически важным для групп по кибербезопасности сохранять бдительность в отношении возникающих угроз.
Связь с группой Lazarus: знакомая тактика
Tropidoor имеет сходство с LightlessCan , другим вредоносным ПО, используемым Lazarus Group , хакерской организацией, связанной с Северной Кореей. Как и его предшественник BLINDINGCAN (он же AIRDRY или ZetaNile), Tropidoor напрямую реализует команды Windows, такие как schtasks, ping и reg, чтобы слиться с законной системной активностью.
Защитите себя: как уберечься от атак Tropidoor
Чтобы снизить риск заражения, пользователям следует:
- Будьте осторожны с вложениями и ссылками в электронных письмах
- Избегайте загрузки программного обеспечения из непроверенных источников.
- Поддерживайте актуальность исправлений безопасности и программного обеспечения
- Используйте надежные, уникальные пароли
- Используйте надежные средства защиты от вредоносных программ и конечных точек
Оставаясь бдительными и следуя передовым практикам кибербезопасности, отдельные лица и организации могут лучше защититься от таких сложных угроз, как Tropidoor.
