Tropidoor Backdoor
Tropidoor je nevaren program, ki je razvrščen kot stranska vrata. Zakulisna vrata so vrsta zlonamerne programske opreme, namenjene nepooblaščenemu dostopu do ogroženega sistema. Nekatere različice lahko tudi prenesejo in namestijo dodatno zlonamerno programsko opremo ali komponente, kar poveča resnost napada.
Kazalo
Tropidoorjeva povezava z BeaverTail in severnokorejskimi akterji groženj
Tropidoor so opazili v kampanjah kibernetskih napadov skupaj z zlonamerno programsko opremo za prenos in drugim škodljivim programom, imenovanim BeaverTail . Slednji je povezan s severnokorejskimi grožnjami in je bil uporabljen za ciljanje razvijalcev, zlasti v Južni Koreji.
Kako je Tropidoor dostavljen: Kampanje z lažnim predstavljanjem na temo zaposlovanja
Kibernetski kriminalci so razdelili Tropidoor z uporabo e-poštnih sporočil z lažnim predstavljanjem na temo zaposlovanja. Ta goljufiva sporočila so predstavljala ponudbe za delo iz skupnosti DEV (dev.to) in so vsebovala povezave do repozitorija BitBucket, ki gosti zlonamerno kodo. Repozitorij je vključeval BeaverTail in prenosnik, ki izvaja Tropidoor.
Onkraj skupnosti DEV: LinkedIn in drugi vektorji napadov
BeaverTail je bil zelo razširjen s kampanjami lažnega predstavljanja na LinkedInu, pri čemer so kot vabo uporabljali lažne ponudbe za delo. Medtem ko so te kampanje ciljale na uporabnike po vsem svetu, se zdi, da je večina žrtev v Južni Koreji.
Taktike distribucije zlonamerne programske opreme: lažno predstavljanje, zlonamerno oglaševanje in drugo
Zlonamerna programska oprema, kot je Tropidoor, se običajno distribuira prek:
- Lažna e-poštna sporočila z nevarnimi prilogami ali povezavami
- Naključni prenosi z ogroženih spletnih mest
- Zlonamerno oglaševanje (nevarni oglasi, ki sprožijo prenose)
- Nezaupanja vredni viri programske opreme, kot so brezplačna spletna mesta in omrežja P2P
- Piratska programska oprema in nezakonita orodja za aktiviranje (razpoke)
- Lažne posodobitve programske opreme
- Mehanizmi za samorazširjanje z uporabo lokalnih omrežij ali pogonov USB
Prevara BitBucket: taktika lažnega predstavljanja
Drugi poskus lažnega predstavljanja je vključeval e-poštna sporočila, ki so predstavljala podjetje AutoSquare. Žrtve so bile napotene, naj klonirajo projekt BitBucket, ki je vseboval paket npm, ki je vseboval tako BeaverTail kot zlonamerno programsko opremo za prenos DLL, prikrito kot car.dll. Ta program za prenos je bil izveden prek programa za krajo in nalaganje, ki temelji na JavaScriptu.
Tropidoorjeve zmogljivosti: zmogljivo kibernetsko orožje
Po izvedbi Tropidoor deluje v pomnilniku in sodeluje s svojim strežnikom za ukaze in nadzor (C2). To mu omogoča:
- Zberite podatke o sistemu (ime naprave, podrobnosti OS, informacije o strojni opremi)
- Upravljanje datotek (iskanje, brisanje, prenos, zbiranje)
- Izvedite in zaključite procese
- Zajemite posnetke zaslona
- Vnesti zlonamerno kodo v tekoče procese
- Nalaganje in izvajanje uporabnih obremenitev v pomnilniku
Razvijajoča se grožnja: Prihodnost Tropidoorja
Razvijalci zlonamerne programske opreme pogosto izboljšujejo svoja orodja in prihodnje različice Tropidoorja bi lahko uvedle nove funkcionalnosti. Zaradi tega razvoja je ključnega pomena, da ekipe za kibernetsko varnost ostanejo previdne pred nastajajočimi grožnjami.
Povezava skupine Lazarus: znana taktika
Tropidoor si deli podobnosti z LightlessCan , drugo zlonamerno programsko opremo, ki jo uporablja Lazarus Group , hekerska organizacija, povezana s Severno Korejo. Tako kot njegov predhodnik, BLINDINGCAN (alias AIRDRY ali ZetaNile), Tropidoor neposredno izvaja ukaze Windows, kot so schtasks, ping in reg, da se zlije z zakonito sistemsko dejavnostjo.
Zaščitite se: ostanite varni pred napadi Tropidoorja
Za zmanjšanje tveganja okužbe morajo uporabniki:
- Bodite previdni pri e-poštnih prilogah in povezavah
- Izogibajte se prenašanju programske opreme iz nepreverjenih virov
- Posodabljajte varnostne popravke in programsko opremo
Če ostanejo pozorni in upoštevajo najboljše prakse kibernetske varnosti, se lahko posamezniki in organizacije bolje branijo pred sofisticiranimi grožnjami, kot je Tropidoor.
