Crowdoor Backdoor er en farlig trussel rettet mod menneskerettighedsstudier
En cyberkampagne orkestreret af Tropic Trooper-hackergruppen har skabt bølger, især med dens fokus på regeringsenheder i Mellemøsten og Malaysia. Tropic Trooper, der har været aktiv siden 2011 og kendt for at målrette kritiske sektorer såsom sundhedspleje og højteknologiske industrier, har nu sat sigte på institutioner, der er involveret i menneskerettighedsstudier. Disse angreb fremhæver gruppens vedvarende trussel, især med implementeringen af Crowdoor-bagdøren, en variant af den tidligere kendte SparrowDoor-malware.
Kaspersky opdagede først denne seneste bølge af angreb i juni 2024, idet han opdagede China Chopper-webskallen på kompromitterede servere, der kører Umbraco CMS-platformen. Angriberne udnyttede kendte sårbarheder i webapplikationer som Adobe ColdFusion og Microsoft Exchange Server til at levere denne bagdør.
Table of Contents
Hvad er Crowdoor Backdoor?
Crowdoor er et sofistikeret malware-implantat, der bruges af Tropic Trooper til at infiltrere målrettede systemer. Først observeret i juni 2023, fungerer denne bagdør primært som en læsser, og dropper det berygtede Cobalt Strike-værktøj for at opretholde vedholdenhed. Crowdoor giver angribere mulighed for at:
- Høst følsomme oplysninger
- Start en omvendt shell for at bevare kontrollen
- Slet spor af andre malware-filer
- Afslut sig selv for at undgå opdagelse
Tropic Trooper bruger forskellige teknikker såsom DLL side-loading, forsvar unddragelse og lateral bevægelse for at maksimere malwarens indvirkning. Dets tilstedeværelse i statslige enheder med fokus på menneskerettighedsstudier signalerer en alvorlig cybersikkerhedstrussel, der kræver øjeblikkelig opmærksomhed.
Sådan fjerner du Crowdoor Bagdør
Hvis du har mistanke om, at dit system er blevet inficeret af Crowdoor-bagdøren, er hurtig handling afgørende for at forhindre yderligere skade. Her er en trin-for-trin guide til, hvordan du opdager og fjerner malware:
1. Isoler det inficerede system
Afbryd straks det kompromitterede system fra netværket. Denne handling forhindrer malwaren i at kommunikere med dens kommando-og-kontrol-server eller spredes til andre systemer på netværket.
2. Kør en omfattende malware-scanning
Brug pålidelige anti-malware-programmer til at scanne det inficerede system. Nogle af de bedste værktøjer til at opdage og fjerne avancerede trusler som Crowdoor inkluderer:
- Malwarebytes
- ESET Internet Security
- Bitdefender Total Security
Disse værktøjer bør opdateres regelmæssigt for at opdage nyere malware-varianter.
3. Undersøg for mistænkelige DLL-filer
Crowdoor bruger ofte DLL-sideindlæsningsteknikker for at undgå detektion. Undersøg for eventuelle mistænkelige eller uautoriserede DLL-filer, især i mapper forbundet med lovlige softwareinstallationer.
4. Tjek for Cobalt Strike Beacons
Da Crowdoor dropper Cobalt Strike, er det vigtigt at overvåge systemet for Cobalt Strike beacons. Sikkerhedsværktøjer som Wireshark eller Zeek kan være nyttige til at identificere beacon-aktivitet, der kommunikerer med angriberens infrastruktur.
5. Fjern ondsindede poster
Gennemgå manuelt registreringsposter, opstartsprogrammer og planlagte opgaver, der kan være blevet ændret for at opretholde persistens. Fjern eventuelle mistænkelige indtastninger for at sikre, at Crowdoor ikke geninficerer systemet ved genstart.
6. Anvend sikkerhedsrettelser
Crowdoor-bagdøren leveres typisk ved at udnytte kendte sårbarheder i webapplikationer som Adobe ColdFusion og Microsoft Exchange Server. Anvend de seneste sikkerhedsrettelser (såsom CVE-2023-26360 og CVE-2021-34473) for at forhindre yderligere udnyttelse.
7. Geninstaller operativsystemet
I tilfælde, hvor infektionen er dybt forankret, kan det være nødvendigt med en fuld OS-geninstallation. Sørg for at sikkerhedskopiere vigtige filer (efter at de er blevet scannet for malware) og geninstaller systemet for at sikre, at der ikke er spor af Crowdoor-bagdøren tilbage.
Forbliv beskyttet
Crowdoor er en del af et større trusselslandskab, hvor kinesisktalende trusselsaktører fortsætter med at udnytte sårbarheder i indholdsstyringssystemer, rettet mod følsomme områder som menneskerettighedsforskning. For at beskytte dit system skal du sørge for regelmæssige opdateringer til al software, aktivere firewalls og implementere avancerede trusselsdetektionsløsninger. Ved at følge disse retningslinjer kan du minimere risikoen for at blive offer for sofistikerede malware-angreb som Crowdoor.
