Tropidoor Bakdörr
Tropidoor är ett hotfullt program som klassas som en bakdörr. Bakdörrar är en typ av skadlig programvara som är utformad för att ge obehörig åtkomst till ett äventyrat system. Vissa varianter kan också ladda ner och installera ytterligare skadlig programvara eller komponenter, vilket ökar svårighetsgraden av en attack.
Innehållsförteckning
Tropidoors koppling till BeaverTail och nordkoreanska hotaktörer
Tropidoor har observerats i cyberattackskampanjer tillsammans med en skadlig programvara för nedladdning och ett annat skadligt program som heter BeaverTail . Den senare är kopplad till nordkoreanska hotaktörer och har använts för att rikta in sig på utvecklare, särskilt i Sydkorea.
Hur Tropidoor levereras: Phishing-kampanjer med rekryteringstema
Cyberkriminella har distribuerat Tropidoor med hjälp av nätfiske-e-post med rekryteringstema. Dessa bedrägliga meddelanden imiterade jobberbjudanden från DEV-gemenskapen (dev.to) och innehöll länkar till ett BitBucket-förråd som var värd för skadlig kod. Förvaret inkluderade BeaverTail och nedladdningsprogrammet som kör Tropidoor.
Beyond DEV Community: LinkedIn och andra attackvektorer
BeaverTail har fått stor spridning genom nätfiskekampanjer på LinkedIn, med falska jobberbjudanden som lockbete. Även om dessa kampanjer har riktat sig till användare över hela världen, verkar majoriteten av offren vara i Sydkorea.
Skadlig distributionstaktik: Nätfiske, malvertising och mer
Skadlig programvara som Tropidoor distribueras vanligtvis genom:
- Nätfiske-e-postmeddelanden med osäkra bilagor eller länkar
- Drive-by-nedladdningar från utsatta webbplatser
- Malvertising (osäkra annonser som utlöser nedladdningar)
- Opålitliga programvarukällor, som freeware-webbplatser och P2P-nätverk
- Piratkopierad programvara och olagliga aktiveringsverktyg (sprickor)
- Falska mjukvaruuppdateringar
- Självspridande mekanismer med hjälp av lokala nätverk eller USB-enheter
BitBucket Deception: The Phishing Tactic
Ett annat nätfiskeförsök involverade e-postmeddelanden som imiterade ett företag som heter AutoSquare. Offren uppmanades att klona ett BitBucket-projekt, som innehöll ett npm-paket som innehöll både BeaverTail och en skadlig programvara för DLL-nedladdning förklädd till car.dll. Den här nedladdningsprogrammet kördes via en JavaScript-baserad stjälare och laddare.
Tropidoors kapacitet: Ett kraftfullt cybervapen
När Tropidoor väl har körts fungerar det i minnet och interagerar med sin kommando- och kontrollserver (C2). Detta gör att den kan:
- Samla systeminformation (enhetsnamn, OS-detaljer, hårdvaruinformation)
- Hantera filer (sök, ta bort, ladda ner, samla in)
- Exekvera och avsluta processer
- Ta skärmdumpar
- Injicera skadlig kod i pågående processer
- Ladda och kör nyttolaster i minnet
An Evolving Threat: The Future of Tropidoor
Utvecklare av skadlig programvara förbättrar ofta sina verktyg och framtida versioner av Tropidoor kan introducera nya funktioner. Denna utveckling gör det avgörande för cybersäkerhetsteam att vara vaksamma mot nya hot.
The Lazarus Group Connection: En bekant taktik
Tropidoor delar likheter med LightlessCan , en annan skadlig kod som används av Lazarus Group , en nordkoreansk anknuten hackarorganisation. Liksom sin föregångare, BLINDINGCAN (aka AIRDRY eller ZetaNile), implementerar Tropidoor direkt Windows-kommandon som schtasks, ping och reg för att smälta in med legitim systemaktivitet.
Skydda dig själv: Håll dig säker från Tropidoor-attacker
För att minska risken för infektion bör användare:
- Var försiktig med e-postbilagor och länkar
- Undvik att ladda ner programvara från overifierade källor
- Håll säkerhetsfixar och programvara uppdaterade
- Använd starka, unika lösenord
- Använd välrenommerade verktyg mot skadlig programvara och slutpunktsskydd
Genom att vara uppmärksam och följa bästa praxis för cybersäkerhet kan individer och organisationer bättre försvara sig mot sofistikerade hot som Tropidoor.
