Tropidoor Backdoor
Tropidoor 是一款被归类为后门程序的威胁性程序。后门程序是一种恶意软件,旨在未经授权访问受感染的系统。某些变体还会下载并安装其他恶意软件或组件,从而增加攻击的严重性。
目录
Tropidoor 与 BeaverTail 及朝鲜威胁行为者的联系
在网络攻击活动中,Tropidoor 被发现与一款下载恶意软件以及另一款名为BeaverTail的有害程序同时出现。后者与朝鲜威胁行为者有关,并被用于攻击开发者,尤其是在韩国。
Tropidoor 的传播方式:以招聘为主题的网络钓鱼活动
网络犯罪分子利用以招聘为主题的钓鱼邮件传播 Tropidoor。这些欺诈性邮件冒充 DEV 社区 (dev.to) 的招聘信息,并包含指向托管恶意代码的 BitBucket 代码库的链接。该代码库包含 BeaverTail 和执行 Tropidoor 的下载程序。
超越 DEV 社区:LinkedIn 和其他攻击媒介
BeaverTail 通过 LinkedIn 上的钓鱼活动广泛传播,使用虚假的招聘信息作为诱饵。虽然这些活动的目标用户遍布全球,但大多数受害者似乎都来自韩国。
恶意软件传播策略:网络钓鱼、恶意广告等
像 Tropidoor 这样的恶意软件通常通过以下方式传播:
- 带有不安全附件或链接的网络钓鱼电子邮件
- 从受感染网站进行驱动下载
- 恶意广告(触发下载的不安全广告)
- 不可信的软件来源,例如免费软件网站和 P2P 网络
- 盗版软件和非法激活工具(破解)
- 虚假软件更新
- 使用本地网络或 USB 驱动器的自我传播机制
BitBucket 欺骗:网络钓鱼策略
另一起网络钓鱼攻击涉及冒充 AutoSquare 公司的电子邮件。受害者被引导克隆一个 BitBucket 项目,该项目包含一个 npm 包,其中包含 BeaverTail 和伪装成 car.dll 的 DLL 下载恶意软件。该下载程序通过基于 JavaScript 的窃取程序和加载程序执行。
Tropidoor 的功能:强大的网络武器
一旦执行,Tropidoor 就会在内存中运行并与其命令和控制 (C2) 服务器进行交互。这使得它可以:
- 收集系统信息(设备名称、操作系统详细信息、硬件信息)
- 管理文件(搜索、删除、下载、收集)
- 执行和终止进程
- 截取屏幕截图
- 将恶意代码注入正在运行的进程
- 在内存中加载并执行有效载荷
不断演变的威胁:Tropidoor 的未来
恶意软件开发者不断增强其工具,Tropidoor 的未来版本可能会引入新功能。这种演变使得网络安全团队必须时刻警惕新兴威胁。
拉撒路集团的联系:一种熟悉的策略
Tropidoor 与朝鲜附属黑客组织Lazarus Group使用的另一款恶意软件LightlessCan有相似之处。与其前身BLINDINGCAN (又名 AIRDRY 或 ZetaNile)一样,Tropidoor 直接执行 Windows 命令(例如 schtasks、ping 和 reg),以混入合法的系统活动。
保护自己:远离 Tropidoor 攻击
为了降低感染风险,用户应:
- 谨慎对待电子邮件附件和链接
- 避免从未经验证的来源下载软件
- 保持安全修复和软件更新
- 使用强大且独特的密码
- 使用信誉良好的反恶意软件和端点保护工具
通过保持警惕并遵循网络安全最佳实践,个人和组织可以更好地防御像 Tropidoor 这样的复杂威胁。
