Cửa sau Tropidoor

Tropidoor là một chương trình đe dọa được phân loại là cửa hậu. Cửa hậu là một loại phần mềm độc hại được thiết kế để cung cấp quyền truy cập trái phép vào hệ thống bị xâm phạm. Một số biến thể cũng có thể tải xuống và cài đặt phần mềm hoặc thành phần độc hại bổ sung, làm tăng mức độ nghiêm trọng của cuộc tấn công.

Mối liên hệ của Tropidoor với BeaverTail và các tác nhân đe dọa từ Bắc Triều Tiên

Tropidoor đã được phát hiện trong các chiến dịch tấn công mạng cùng với phần mềm độc hại tải xuống và một chương trình gây hại khác có tên là BeaverTail . Chương trình sau có liên quan đến các tác nhân đe dọa từ Bắc Triều Tiên và đã được sử dụng để nhắm mục tiêu vào các nhà phát triển, đặc biệt là ở Hàn Quốc.

Tropidoor được phân phối như thế nào: Các chiến dịch lừa đảo theo chủ đề tuyển dụng

Tội phạm mạng đã phân phối Tropidoor bằng cách sử dụng email lừa đảo có chủ đề tuyển dụng. Những tin nhắn lừa đảo này giả mạo các lời mời làm việc từ Cộng đồng DEV (dev.to) và chứa các liên kết đến kho lưu trữ BitBucket lưu trữ mã độc hại. Kho lưu trữ này bao gồm BeaverTail và trình tải xuống thực thi Tropidoor.

Cộng đồng DEV ngoài kia: LinkedIn và các vectơ tấn công khác

BeaverTail đã lan truyền rộng rãi thông qua các chiến dịch lừa đảo trên LinkedIn, sử dụng các lời mời làm việc giả làm mồi nhử. Mặc dù các chiến dịch này nhắm vào người dùng trên toàn thế giới, nhưng phần lớn nạn nhân dường như ở Hàn Quốc.

Chiến thuật phân phối phần mềm độc hại: Lừa đảo, quảng cáo độc hại và nhiều hơn nữa

Phần mềm độc hại như Tropidoor thường được phân phối thông qua:

• Email lừa đảo có tệp đính kèm hoặc liên kết không an toàn
• Tải xuống từ các trang web bị xâm nhập
• Quảng cáo độc hại (quảng cáo không an toàn kích hoạt tải xuống)
• Các nguồn phần mềm không đáng tin cậy, chẳng hạn như các trang web phần mềm miễn phí và mạng P2P
• Phần mềm lậu và công cụ kích hoạt bất hợp pháp (crack)
• Cập nhật phần mềm giả mạo
• Cơ chế tự lan truyền sử dụng mạng cục bộ hoặc ổ USB

Lừa đảo BitBucket: Chiến thuật lừa đảo

Một nỗ lực lừa đảo khác liên quan đến các email mạo danh một công ty có tên là AutoSquare. Các nạn nhân được hướng dẫn sao chép một dự án BitBucket, trong đó có một gói npm chứa cả BeaverTail và một phần mềm độc hại tải xuống DLL được ngụy trang thành car.dll. Trình tải xuống này được thực thi thông qua một trình đánh cắp và tải dựa trên JavaScript.

Khả năng của Tropidoor: Một vũ khí mạng mạnh mẽ

Sau khi thực thi, Tropidoor hoạt động trong bộ nhớ và tương tác với máy chủ Command and Control (C2) của nó. Điều này cho phép nó:

• Thu thập thông tin hệ thống (tên thiết bị, thông tin chi tiết về hệ điều hành, thông tin phần cứng)
• Quản lý tập tin (tìm kiếm, xóa, tải xuống, thu thập)
• Thực hiện và kết thúc các tiến trình
• Chụp ảnh màn hình
• Chèn mã độc vào các tiến trình đang chạy
• Tải và thực thi các tải trọng trong bộ nhớ

Một mối đe dọa đang phát triển: Tương lai của Tropidoor

Các nhà phát triển phần mềm độc hại thường xuyên cải tiến công cụ của họ và các phiên bản Tropidoor trong tương lai có thể giới thiệu các chức năng mới. Sự phát triển này khiến các nhóm an ninh mạng phải luôn cảnh giác trước các mối đe dọa mới nổi.

Mối liên hệ của nhóm Lazarus: Một chiến thuật quen thuộc

Tropidoor có điểm tương đồng với LightlessCan , một phần mềm độc hại khác được Lazarus Group , một tổ chức tin tặc có liên hệ với Triều Tiên, sử dụng. Giống như người tiền nhiệm của nó, BLINDINGCAN (hay còn gọi là AIRDRY hoặc ZetaNile), Tropidoor trực tiếp triển khai các lệnh Windows như schtasks, ping và reg để hòa nhập với hoạt động hợp pháp của hệ thống.

Bảo vệ bản thân: Giữ an toàn khỏi các cuộc tấn công của Tropidoor

Để giảm nguy cơ nhiễm trùng, người dùng nên:

• Hãy thận trọng với các tệp đính kèm và liên kết trong email
• Tránh tải xuống phần mềm từ các nguồn chưa được xác minh
• Giữ cho các bản sửa lỗi bảo mật và phần mềm được cập nhật
• Sử dụng mật khẩu mạnh và duy nhất

• Sử dụng các công cụ bảo vệ điểm cuối và chống phần mềm độc hại có uy tín

Bằng cách luôn cảnh giác và tuân thủ các biện pháp an ninh mạng tốt nhất, cá nhân và tổ chức có thể phòng thủ tốt hơn trước các mối đe dọa tinh vi như Tropidoor.