Tropidoor Backdoor

Tropidoor เป็นโปรแกรมคุกคามที่จัดอยู่ในประเภทแบ็คดอร์ แบ็คดอร์เป็นมัลแวร์ประเภทหนึ่งที่ออกแบบมาเพื่อให้เข้าถึงระบบที่ถูกบุกรุกโดยไม่ได้รับอนุญาต มัลแวร์บางประเภทสามารถดาวน์โหลดและติดตั้งซอฟต์แวร์หรือส่วนประกอบที่เป็นอันตรายเพิ่มเติมได้ ทำให้การโจมตีรุนแรงขึ้น

การเชื่อมโยงของ Tropidoor กับ BeaverTail และผู้ก่อภัยคุกคามจากเกาหลีเหนือ

พบว่า Tropidoor อยู่ในแคมเปญโจมตีทางไซเบอร์ร่วมกับมัลแวร์ดาวน์โหลดและโปรแกรมอันตรายอีกตัวหนึ่งที่เรียกว่า BeaverTail โปรแกรมหลังมีความเชื่อมโยงกับผู้ก่อภัยคุกคามจากเกาหลีเหนือและถูกใช้เพื่อกำหนดเป้าหมายนักพัฒนาโดยเฉพาะในเกาหลีใต้

Tropidoor ถูกส่งมอบอย่างไร: แคมเปญฟิชชิ่งตามธีมการรับสมัคร

อาชญากรไซเบอร์ได้เผยแพร่ Tropidoor โดยใช้อีเมลฟิชชิ่งที่มีเนื้อหาเกี่ยวกับการรับสมัคร ข้อความหลอกลวงเหล่านี้แอบอ้างข้อเสนองานจาก DEV Community (dev.to) และมีลิงก์ไปยังคลังข้อมูล BitBucket ที่มีโค้ดอันตราย คลังข้อมูลดังกล่าวมี BeaverTail และโปรแกรมดาวน์โหลดที่เรียกใช้งาน Tropidoor

นอกเหนือจากชุมชน DEV: LinkedIn และเวกเตอร์การโจมตีอื่น ๆ

BeaverTail แพร่กระจายไปอย่างกว้างขวางผ่านแคมเปญฟิชชิ่งบน LinkedIn โดยใช้ข้อเสนองานปลอมเป็นเหยื่อล่อ แม้ว่าแคมเปญเหล่านี้จะกำหนดเป้าหมายผู้ใช้ทั่วโลก แต่เหยื่อส่วนใหญ่ดูเหมือนจะอยู่ในเกาหลีใต้

กลยุทธ์การแพร่กระจายมัลแวร์: ฟิชชิ่ง การโฆษณาผ่านมัลแวร์ และอื่นๆ

มัลแวร์เช่น Tropidoor มักแพร่กระจายผ่าน:

• อีเมล์ฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่ไม่ปลอดภัย
• การดาวน์โหลดแบบไดรฟ์บายจากเว็บไซต์ที่ถูกบุกรุก
• การโฆษณาแบบมัลแวร์ (โฆษณาที่ไม่ปลอดภัยที่ทำให้เกิดการดาวน์โหลด)
• แหล่งซอฟต์แวร์ที่ไม่น่าเชื่อถือ เช่น เว็บไซต์ฟรีแวร์และเครือข่าย P2P
• ซอฟต์แวร์ละเมิดลิขสิทธิ์และเครื่องมือเปิดใช้งานผิดกฎหมาย (แคร็ก)
• อัพเดตซอฟต์แวร์ปลอม
• กลไกการแพร่กระจายด้วยตนเองโดยใช้เครือข่ายท้องถิ่นหรือไดรฟ์ USB

การหลอกลวง BitBucket: กลยุทธ์การหลอกลวงทางอินเทอร์เน็ต

ความพยายามฟิชชิ่งอีกกรณีหนึ่งเกี่ยวข้องกับอีเมลที่แอบอ้างเป็นบริษัทที่ชื่อว่า AutoSquare เหยื่อถูกสั่งให้โคลนโครงการ BitBucket ซึ่งประกอบด้วยแพ็กเกจ npm ที่บรรจุทั้ง BeaverTail และมัลแวร์ดาวน์โหลด DLL ที่ปลอมตัวเป็น car.dll โปรแกรมดาวน์โหลดนี้ถูกเรียกใช้ผ่านโปรแกรมขโมยและโหลดที่ใช้ JavaScript

ความสามารถของ Tropidoor: อาวุธไซเบอร์อันทรงพลัง

เมื่อดำเนินการแล้ว Tropidoor จะดำเนินการในหน่วยความจำและโต้ตอบกับเซิร์ฟเวอร์ Command and Control (C2) ซึ่งช่วยให้สามารถ:

• รวบรวมข้อมูลระบบ (ชื่ออุปกรณ์, รายละเอียดระบบปฏิบัติการ, ข้อมูลฮาร์ดแวร์)
• จัดการไฟล์ (ค้นหา ลบ ดาวน์โหลด รวบรวม)
• ดำเนินการและยุติกระบวนการ
• จับภาพหน้าจอ
• ฉีดโค้ดที่เป็นอันตรายลงในกระบวนการที่กำลังทำงาน
• โหลดและดำเนินการโหลดในหน่วยความจำ

ภัยคุกคามที่กำลังพัฒนา: อนาคตของ Tropidoor

นักพัฒนาซอฟต์แวร์ด้านมัลแวร์มักจะปรับปรุงเครื่องมือของตนอยู่เสมอ และ Tropidoor เวอร์ชันในอนาคตอาจมีฟังก์ชันใหม่ๆ เข้ามา การเปลี่ยนแปลงนี้ทำให้ทีมงานด้านความปลอดภัยทางไซเบอร์ต้องเฝ้าระวังภัยคุกคามใหม่ๆ ที่เกิดขึ้น

การเชื่อมโยงกลุ่มลาซารัส: กลยุทธ์ที่คุ้นเคย

Tropidoor มีลักษณะคล้ายกับ LightlessCan ซึ่งเป็นมัลแวร์อีกตัวที่ใช้โดย กลุ่ม Lazarus ซึ่งเป็นองค์กรแฮ็กเกอร์ที่เกี่ยวข้องกับเกาหลีเหนือ เช่นเดียวกับ BLINDINGCAN (หรือที่เรียกว่า AIRDRY หรือ ZetaNile) รุ่นก่อน Tropidoor จะนำคำสั่ง Windows เช่น schtasks, ping และ reg ไปใช้งานโดยตรง เพื่อแทรกซึมเข้ากับกิจกรรมของระบบที่ถูกต้องตามกฎหมาย

ปกป้องตัวเอง: ปลอดภัยจากการโจมตีของ Tropidoor

เพื่อลดความเสี่ยงของการติดเชื้อ ผู้ใช้ควรทำดังนี้:

• ระมัดระวังการแนบไฟล์และลิงก์ในอีเมล
• หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่ผ่านการตรวจสอบ
• ปรับปรุงการแก้ไขด้านความปลอดภัยและซอฟต์แวร์ให้เป็นปัจจุบัน
• ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน

• ใช้เครื่องมือป้องกันมัลแวร์และปกป้องจุดสิ้นสุดที่มีชื่อเสียง

การเฝ้าระวังและปฏิบัติตามหลักปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ จะช่วยให้บุคคลและองค์กรต่างๆ สามารถป้องกันภัยคุกคามที่ซับซ้อน เช่น Tropidoor ได้ดีขึ้น