Crowdoor Backdoor es una amenaza peligrosa dirigida a los estudios de derechos humanos
Una campaña cibernética orquestada por el grupo de hackers Tropic Trooper ha estado causando revuelo, especialmente por su enfoque en entidades gubernamentales de Oriente Medio y Malasia. Tropic Trooper, activo desde 2011 y conocido por atacar sectores críticos como la atención médica y las industrias de alta tecnología, ahora ha puesto sus miras en instituciones involucradas en estudios de derechos humanos. Estos ataques ponen de relieve la amenaza persistente del grupo, en particular con el despliegue de la puerta trasera Crowdoor, una variante del malware SparrowDoor previamente conocido.
Kaspersky detectó por primera vez esta última ola de ataques en junio de 2024, cuando descubrió el shell web China Chopper en servidores comprometidos que ejecutaban la plataforma Umbraco CMS. Los atacantes explotaron vulnerabilidades conocidas en aplicaciones web como Adobe ColdFusion y Microsoft Exchange Server para distribuir esta puerta trasera.
Table of Contents
¿Qué es Crowdoor Backdoor?
Crowdoor es un sofisticado implante de malware que Tropic Trooper utiliza para infiltrarse en sistemas específicos. Observado por primera vez en junio de 2023, este backdoor funciona principalmente como un cargador, que instala la infame herramienta Cobalt Strike para mantener la persistencia. Crowdoor permite a los atacantes:
- Recopilar información sensible
- Lanzar un proyectil inverso para mantener el control.
- Borrar rastros de otros archivos de malware
- Terminarse a sí mismo para evadir la detección
Tropic Trooper utiliza diversas técnicas, como la carga lateral de DLL, la evasión de defensas y el movimiento lateral, para maximizar el impacto del malware. Su presencia en entidades gubernamentales centradas en estudios de derechos humanos indica una grave amenaza a la ciberseguridad que exige atención inmediata.
Cómo eliminar la puerta trasera de Crowdoor
Si sospecha que su sistema ha sido infectado por la puerta trasera Crowdoor, es fundamental actuar con rapidez para evitar mayores daños. A continuación, se incluye una guía paso a paso sobre cómo detectar y eliminar el malware:
1. Aislar el sistema infectado
Desconecte inmediatamente el sistema afectado de la red. Esta acción evita que el malware se comunique con su servidor de comando y control o se propague a otros sistemas dentro de la red.
2. Ejecute un análisis completo de malware
Utilice programas antimalware de confianza para analizar el sistema infectado. Algunas de las mejores herramientas para detectar y eliminar amenazas avanzadas como Crowdoor son:
- Bitácoras de malware
- Seguridad de Internet de ESET
- Seguridad total de Bitdefender
Estas herramientas deben actualizarse periódicamente para detectar nuevas variantes de malware.
3. Inspeccione si hay archivos DLL sospechosos
Crowdoor suele utilizar técnicas de carga lateral de DLL para evitar ser detectado. Investigue si hay archivos DLL sospechosos o no autorizados, especialmente en directorios asociados con instalaciones de software legítimas.
4. Compruebe si hay balizas Cobalt Strike
Dado que Crowdoor ha lanzado Cobalt Strike, es esencial supervisar el sistema en busca de balizas de Cobalt Strike. Las herramientas de seguridad como Wireshark o Zeek pueden resultar útiles para identificar la actividad de las balizas que se comunican con la infraestructura del atacante.
5. Eliminar entradas maliciosas
Revise manualmente las entradas de registro, los programas de inicio y las tareas programadas que puedan haberse modificado para mantener la persistencia. Elimine las entradas sospechosas para asegurarse de que Crowdoor no vuelva a infectar el sistema al reiniciar.
6. Aplicar parches de seguridad
La puerta trasera Crowdoor se distribuye generalmente explotando vulnerabilidades conocidas en aplicaciones web como Adobe ColdFusion y Microsoft Exchange Server. Aplique los parches de seguridad más recientes (como CVE-2023-26360 y CVE-2021-34473) para evitar una mayor explotación.
7. Reinstalar el sistema operativo
En los casos en los que la infección esté muy arraigada, puede ser necesaria una reinstalación completa del sistema operativo. Asegúrese de realizar una copia de seguridad de los archivos importantes (después de haberlos analizado en busca de malware) y reinstalar el sistema para asegurarse de que no queden rastros de la puerta trasera Crowdoor.
Mantente protegido
Crowdoor es parte de un panorama de amenazas más amplio en el que los actores de amenazas de habla china continúan explotando vulnerabilidades en los sistemas de administración de contenido, y se enfocan en áreas sensibles como la investigación de derechos humanos. Para proteger su sistema, asegúrese de actualizar periódicamente todo el software, habilite los firewalls e implemente soluciones avanzadas de detección de amenazas. Si sigue estas pautas, puede minimizar el riesgo de ser víctima de ataques de malware sofisticados como Crowdoor.
