Tropidoor Backdoor
Tropidoor je hrozivý program, ktorý je klasifikovaný ako zadné vrátka. Zadné vrátka sú typom malvéru, ktorý je navrhnutý tak, aby poskytoval neoprávnený prístup k napadnutému systému. Niektoré varianty môžu tiež stiahnuť a nainštalovať ďalší škodlivý softvér alebo komponenty, čím sa zvyšuje závažnosť útoku.
Obsah
Spojenie Tropidooru s BeaverTail a severokórejskými hrozbami
Tropidoor bol pozorovaný v kampaniach kybernetických útokov spolu so škodlivým softvérom na sťahovanie a ďalším škodlivým programom s názvom BeaverTail . Ten je spojený so severokórejskými aktérmi hrozieb a používa sa na zacielenie na vývojárov, najmä v Južnej Kórei.
Ako sa dodáva Tropidoor: Phishingové kampane s tematikou náboru
Kyberzločinci distribuovali Tropidoor pomocou phishingových e-mailov s náborovou tematikou. Tieto podvodné správy zosobňovali pracovné ponuky od komunity DEV (dev.to) a obsahovali odkazy na úložisko BitBucket, ktoré hostí škodlivý kód. Úložisko zahŕňalo BeaverTail a downloader, ktorý spúšťa Tropidoor.
Beyond DEV Community: LinkedIn a ďalšie útočné vektory
BeaverTail sa vo veľkej miere šíril prostredníctvom phishingových kampaní na LinkedIn, pričom ako návnadu používali falošné pracovné ponuky. Hoci sa tieto kampane zamerali na používateľov na celom svete, zdá sa, že väčšina obetí je v Južnej Kórei.
Taktika distribúcie malvéru: phishing, malvertising a ďalšie
Malvér ako Tropidoor sa zvyčajne distribuuje prostredníctvom:
- Phishingové e-maily s nebezpečnými prílohami alebo odkazmi
- Postupné sťahovanie z napadnutých webových stránok
- Malinzercia (nebezpečné reklamy, ktoré spúšťajú sťahovanie)
- Nedôveryhodné zdroje softvéru, ako sú freeware stránky a P2P siete
- Pirátsky softvér a nelegálne aktivačné nástroje (crack)
- Falošné aktualizácie softvéru
- Samorozširujúce sa mechanizmy využívajúce lokálne siete alebo USB disky
BitBucket Deception: Phishing Tactic
Ďalší pokus o phishing zahŕňal e-maily vydávajúce sa za spoločnosť s názvom AutoSquare. Obete boli nasmerované na klonovanie projektu BitBucket, ktorý obsahoval balík npm obsahujúci BeaverTail aj malvér na sťahovanie DLL maskovaný ako car.dll. Tento downloader bol spustený cez JavaScript-založený zlodej a nakladač.
Schopnosti Tropidoor: Výkonná kybernetická zbraň
Po spustení Tropidoor funguje v pamäti a interaguje so svojím serverom Command and Control (C2). To umožňuje:
- Zhromažďovať informácie o systéme (názov zariadenia, podrobnosti o operačnom systéme, informácie o hardvéri)
- Správa súborov (vyhľadávanie, mazanie, sťahovanie, zhromažďovanie)
- Vykonajte a ukončite procesy
- Zachyťte snímky obrazovky
- Vloženie škodlivého kódu do spustených procesov
- Načítajte a spúšťajte užitočné zaťaženia v pamäti
Vyvíjajúca sa hrozba: Budúcnosť Tropidooru
Vývojári malvéru často vylepšujú svoje nástroje a budúce verzie Tropidoor by mohli priniesť nové funkcie. V dôsledku tohto vývoja je pre tímy kybernetickej bezpečnosti mimoriadne dôležité, aby boli ostražití voči vznikajúcim hrozbám.
Spojenie skupiny Lazarus: Známa taktika
Tropidoor zdieľa podobnosti s LightlessCan , ďalším malvérom, ktorý používa Lazarus Group , hackerská organizácia pridružená k Severnej Kórei. Rovnako ako jeho predchodca BLINDINGCAN (aka AIRDRY alebo ZetaNile), Tropidoor priamo implementuje príkazy Windows, ako sú schtasks, ping a reg, aby sa spojili s legitímnou aktivitou systému.
Chráňte sa: Zostaňte v bezpečí pred útokmi Tropidoor
Aby sa znížilo riziko infekcie, používatelia by mali:
- Buďte opatrní s prílohami e-mailov a odkazmi
- Vyhnite sa sťahovaniu softvéru z neoverených zdrojov
- Udržujte bezpečnostné opravy a softvér aktuálne
Tým, že budú v strehu a budú sa riadiť osvedčenými postupmi kybernetickej bezpečnosti, môžu jednotlivci a organizácie lepšie brániť sofistikované hrozby, ako je Tropidoor.
