Tropidoor Backdoor
Tropidoor 是一個威脅程序,被歸類為後門。後門是一種惡意軟體,旨在提供對受感染系統的未經授權的存取。有些變種還可以下載並安裝其他惡意軟體或元件,從而增加攻擊的嚴重性。
目錄
Tropidoor 與 BeaverTail 及北韓威脅行為者的聯繫
在網路攻擊活動中,人們發現 Tropidoor 與下載惡意軟體以及另一個名為BeaverTail的有害程式同時存在。後者與北韓威脅行為者有關,並被用來針對開發人員,尤其是在南韓。
Tropidoor 的傳播方式:以招募為主題的網路釣魚活動
網路犯罪分子利用以招募為主題的網路釣魚電子郵件來傳播 Tropidoor。這些詐欺性資訊冒充了 DEV 社群 (dev.to) 的工作機會,並包含託管惡意程式碼的 BitBucket 儲存庫的連結。該儲存庫包括 BeaverTail 和執行 Tropidoor 的下載器。
超越 DEV 社群:LinkedIn 和其他攻擊媒介
BeaverTail 透過 LinkedIn 上的網路釣魚活動廣泛傳播,並使用虛假的工作機會作為誘餌。雖然這些活動針對的是全球用戶,但大多數受害者似乎都在韓國。
惡意軟體傳播策略:網路釣魚、惡意廣告等
像 Tropidoor 這樣的惡意軟體通常透過以下方式傳播:
- 帶有不安全附件或連結的網路釣魚電子郵件
- 從受感染網站進行驅動下載
- 惡意廣告(觸發下載的不安全廣告)
- 不可信的軟體來源,例如免費軟體網站和 P2P 網絡
- 盜版軟體和非法啟動工具(破解)
- 虛假軟體更新
- 使用本地網路或 USB 隨身碟的自我傳播機制
BitBucket 欺騙:網路釣魚策略
另一次網路釣魚嘗試涉及冒充 AutoSquare 公司的電子郵件。受害者被指示克隆一個 BitBucket 項目,該項目包含一個 npm 包,其中包含 BeaverTail 和偽裝成 car.dll 的 DLL 下載惡意軟體。該下載程式是透過基於 JavaScript 的竊取程式和載入器執行的。
Tropidoor 的功能:強大的網路武器
一旦執行,Tropidoor 就會在記憶體中運行並與其命令和控制 (C2) 伺服器互動。這使得它能夠:
- 收集系統資訊(設備名稱、作業系統詳細資料、硬體資訊)
- 管理文件(搜尋、刪除、下載、收集)
- 執行和終止進程
- 截圖
- 將惡意程式碼注入正在運行的進程
- 在記憶體中載入並執行有效載荷
不斷演變的威脅:Tropidoor 的未來
惡意軟體開發人員經常增強他們的工具,Tropidoor 的未來版本可能會引入新的功能。這種演進使得網路安全團隊必須對新出現的威脅保持警惕。
拉撒路集團的連結:一種熟悉的策略
Tropidoor 與北韓附屬駭客組織Lazarus Group使用的另一個惡意軟體LightlessCan有相似之處。與其前身BLINDINGCAN (又稱 AIRDRY 或 ZetaNile)一樣,Tropidoor 直接執行 Windows 命令(例如 schtasks、ping 和 reg)以融入合法系統活動。
保護自己:遠離 Tropidoor 攻擊
為了降低感染風險,使用者應:
- 謹慎對待電子郵件附件和鏈接
- 避免從未經驗證的來源下載軟體
- 保持安全修復和軟體更新
- 使用強大且獨特的密碼
- 使用信譽良好的反惡意軟體和端點保護工具
透過保持警惕並遵循網路安全最佳實踐,個人和組織可以更好地防禦像 Tropidoor 這樣的複雜威脅。
