Tropidoor Backdoor

Tropidoor është një program kërcënues që klasifikohet si një derë e pasme. Backdoors janë një lloj malware i krijuar për të ofruar akses të paautorizuar në një sistem të komprometuar. Disa variante gjithashtu mund të shkarkojnë dhe instalojnë softuer ose komponentë shtesë me qëllim të keq, duke rritur ashpërsinë e një sulmi.

Lidhja e Tropidoor me aktorët e kërcënimit të BeaverTail dhe Koresë së Veriut

Tropidoor është vërejtur në fushatat e sulmeve kibernetike së bashku me një malware shkarkues dhe një program tjetër të dëmshëm të quajtur BeaverTail . Ky i fundit është i lidhur me aktorët e kërcënimit të Koresë së Veriut dhe është përdorur për të synuar zhvilluesit, veçanërisht në Korenë e Jugut.

Si shpërndahet Tropidoor: Fushata phishing me temë rekrutimi

Kriminelët kibernetikë kanë shpërndarë Tropidoor duke përdorur email phishing me temë rekrutimi. Këto mesazhe mashtruese imitonin ofertat e punës nga Komuniteti DEV (dev.to) dhe përmbanin lidhje me një depo BitBucket që pret kodin keqdashës. Depoja përfshinte BeaverTail dhe shkarkuesin që ekzekuton Tropidoor.

Përtej komunitetit DEV: LinkedIn dhe vektorë të tjerë të sulmit

BeaverTail është përhapur gjerësisht përmes fushatave phishing në LinkedIn, duke përdorur oferta të rreme pune si karrem. Ndërsa këto fushata kanë synuar përdoruesit në mbarë botën, shumica e viktimave duket se janë në Korenë e Jugut.

Taktikat e shpërndarjes së malware: Phishing, Malvertising dhe më shumë

Malware si Tropidoor zakonisht shpërndahet përmes:

• Email phishing me bashkëngjitje ose lidhje të pasigurta
• Shkarkime nga faqet e internetit të komprometuara
• Reklamim i keq (reklama të pasigurta që shkaktojnë shkarkime)
• Burime softuerike jo të besueshme, të tilla si faqet e programeve falas dhe rrjetet P2P
• Softuer pirate dhe mjete të paligjshme aktivizimi (çarje)
• Përditësimet e rreme të softuerit
• Mekanizmat e vetë-përhapjes duke përdorur rrjete lokale ose disqe USB

Mashtrimi i BitBucket: Taktika e phishing

Një tjetër përpjekje për phishing përfshinte emailet që imitonin një kompani të quajtur AutoSquare. Viktimat u drejtuan të klononin një projekt BitBucket, i cili përmbante një paketë npm që strehonte BeaverTail dhe një malware të shkarkuesit DLL të maskuar si car.dll. Ky shkarkues u ekzekutua nëpërmjet një vjedhësi dhe ngarkuesi të bazuar në JavaScript.

Aftësitë e Tropidoor: Një armë e fuqishme kibernetike

Pasi të ekzekutohet, Tropidoor funksionon në memorie dhe ndërvepron me serverin e tij Command and Control (C2). Kjo e lejon atë të:

• Mblidhni informacionin e sistemit (emri i pajisjes, detajet e sistemit operativ, informacioni i harduerit)
• Menaxho skedarët (kërko, fshi, shkarko, mbledh)
• Ekzekutoni dhe përfundoni proceset
• Regjistroni pamjet e ekranit
• Injektoni kodin me qëllim të keq në proceset që funksionojnë
• Ngarkoni dhe ekzekutoni ngarkesat në memorie

Një kërcënim në zhvillim: E ardhmja e Tropidoor

Zhvilluesit e malware shpesh përmirësojnë mjetet e tyre dhe versionet e ardhshme të Tropidoor mund të prezantojnë funksionalitete të reja. Ky evolucion e bën kritike që ekipet e sigurisë kibernetike të qëndrojnë vigjilente ndaj kërcënimeve në zhvillim.

Lidhja e grupit Lazarus: Një taktikë e njohur

Tropidoor ndan ngjashmëri me LightlessCan , një tjetër malware i përdorur nga Lazarus Group , një organizatë hakerimi e lidhur me Korenë e Veriut. Ashtu si paraardhësi i tij, BLINDINGCAN (aka AIRDRY ose ZetaNile), Tropidoor zbaton drejtpërdrejt komandat e Windows si schtasks, ping dhe reg për t'u përzier me aktivitetin legjitim të sistemit.

Mbroni veten: Qëndroni të sigurt nga sulmet në Tropidoor

Për të zvogëluar rrezikun e infeksionit, përdoruesit duhet:

• Jini të kujdesshëm me bashkëngjitjet dhe lidhjet me email
• Shmangni shkarkimin e softuerit nga burime të paverifikuara
• Mbani të përditësuar rregullimet e sigurisë dhe softuerin

Duke qëndruar vigjilent dhe duke ndjekur praktikat më të mira të sigurisë kibernetike, individët dhe organizatat mund të mbrohen më mirë kundër kërcënimeve të sofistikuara si Tropidoor.