Тропидоор Бацкдоор
Тропидоор је претећи програм који је класификован као бацкдоор. Позадинска врата су врста малвера дизајнирана да обезбеди неовлашћени приступ компромитованом систему. Неке варијанте такође могу да преузму и инсталирају додатни злонамерни софтвер или компоненте, повећавајући озбиљност напада.
Преглед садржаја
Тропидорова веза са БеаверТаил-ом и севернокорејским претњама
Тропидоор је примећен у кампањама сајбер напада заједно са малвером за преузимање и другим штетним програмом под називом БеаверТаил . Ово последње је повезано са актерима претњи из Северне Кореје и коришћено је за циљање на програмере, посебно у Јужној Кореји.
Како се Тропидоор испоручује: Пецарске кампање са темом запошљавања
Сајбер-криминалци су дистрибуирали Тропидоор користећи пхисхинг мејлове на тему регрутовања. Ове лажне поруке лажно су представљале понуде за посао из ДЕВ заједнице (дев.то) и садржале су везе до БитБуцкет спремишта у којем се налази злонамерни код. Репозиторијум је укључивао БеаверТаил и програм за преузимање који извршава Тропидоор.
Беионд ДЕВ заједница: ЛинкедИн и други вектори напада
БеаверТаил је широко распрострањен кроз пхисхинг кампање на ЛинкедИн-у, користећи лажне понуде за посао као мамац. Иако су ове кампање циљале кориснике широм света, чини се да је већина жртава у Јужној Кореји.
Тактике дистрибуције злонамерног софтвера: „пецање“, малвертисинг и још много тога
Малвер као што је Тропидоор се обично дистрибуира преко:
- Пецање имејлова са небезбедним прилозима или везама
- Преузимања са компромитованих веб локација
- Малвертисинг (небезбедни огласи који покрећу преузимања)
- Непоуздани извори софтвера, као што су бесплатни сајтови и П2П мреже
- Пиратски софтвер и илегални алати за активацију (крекови)
- Лажна ажурирања софтвера
- Механизми за самостално ширење помоћу локалних мрежа или УСБ дискова
БитБуцкет обмана: тактика пхисхинга
Још један покушај крађе идентитета укључивао је е-пошту у којој се лажно представља компанија под називом АутоСкуаре. Жртве су упућене да клонирају БитБуцкет пројекат, који је садржао нпм пакет који садржи и БеаверТаил и малвер за преузимање ДЛЛ-а прерушен као цар.длл. Овај програм за преузимање је извршен преко ЈаваСцрипт-базираног алата за крађу и учитавање.
Тропидорове могућности: Моћно сајбер оружје
Једном извршен, Тропидоор ради у меморији и комуницира са својим сервером за команду и контролу (Ц2). Ово му омогућава да:
- Прикупите информације о систему (назив уређаја, детаљи о ОС-у, информације о хардверу)
- Управљање датотекама (претрага, брисање, преузимање, прикупљање)
- Извршите и окончајте процесе
- Снимите снимке екрана
- Убаците злонамерни код у покренуте процесе
- Учитавање и извршавање корисних оптерећења у меморији
Претња која се развија: Будућност Тропидора
Програмери злонамерног софтвера често побољшавају своје алате, а будуће верзије Тропидоора могле би да уведу нове функционалности. Ова еволуција чини да је од кључне важности за тимове за сајбер безбедност да остану на опрезу против нових претњи.
Повезивање Лазарус групе: позната тактика
Тропидор дели сличности са ЛигхтлессЦан-ом , још једним малвером који користи Лазарус Гроуп , хакерска организација повезана са Северном Корејом. Као и његов претходник, БЛИНДИНГЦАН (ака АИРДРИ или ЗетаНиле), Тропидоор директно имплементира Виндовс команде као што су сцхтаскс, пинг и рег да би се уклопио са легитимном активношћу система.
Заштитите се: Чувајте се од напада тропидора
Да би смањили ризик од инфекције, корисници треба да:
- Будите опрезни са прилозима и везама е-поште
- Избегавајте преузимање софтвера из непроверених извора
- Одржавајте безбедносне исправке и софтвер ажурним
Ако буду на опрезу и прате најбоље праксе у области сајбер безбедности, појединци и организације могу боље да се бране од софистицираних претњи као што је Тропидоор.
