Crowdoor Backdoor est une menace dangereuse visant les études sur les droits de l'homme

Une cyber-campagne orchestrée par le groupe de hackers Tropic Trooper fait des vagues, notamment en ciblant des entités gouvernementales au Moyen-Orient et en Malaisie. Actif depuis 2011 et connu pour cibler des secteurs critiques comme la santé et les industries de haute technologie, Tropic Trooper a désormais jeté son dévolu sur des institutions impliquées dans les études sur les droits de l'homme. Ces attaques mettent en évidence la menace persistante du groupe, notamment avec le déploiement de la porte dérobée Crowdoor, une variante du malware SparrowDoor, déjà connu.

Kaspersky a détecté pour la première fois cette dernière vague d'attaques en juin 2024, en découvrant le shell Web China Chopper sur des serveurs compromis exécutant la plateforme Umbraco CMS. Les attaquants ont exploité des vulnérabilités connues dans des applications Web comme Adobe ColdFusion et Microsoft Exchange Server pour créer cette porte dérobée.

Qu'est-ce que Crowdoor Backdoor ?

Crowdoor est un implant de malware sophistiqué utilisé par Tropic Trooper pour infiltrer les systèmes ciblés. Observée pour la première fois en juin 2023, cette porte dérobée fonctionne principalement comme un chargeur, déposant le tristement célèbre outil Cobalt Strike pour maintenir la persistance. Crowdoor permet aux attaquants de :

  • Récolter des informations sensibles
  • Lancer un shell inversé pour garder le contrôle
  • Effacer les traces d’autres fichiers malveillants
  • Se terminer pour échapper à la détection

Tropic Trooper utilise diverses techniques telles que le chargement latéral de DLL, l'évasion de défense et le déplacement latéral pour maximiser l'impact du malware. Sa présence dans des entités gouvernementales axées sur les études des droits de l'homme signale une grave menace de cybersécurité qui exige une attention immédiate.

Comment supprimer la porte dérobée Crowdoor

Si vous pensez que votre système a été infecté par la porte dérobée Crowdoor, il est essentiel d'agir rapidement pour éviter d'autres dommages. Voici un guide étape par étape sur la façon de détecter et de supprimer le logiciel malveillant :

1. Isoler le système infecté

Déconnectez immédiatement le système compromis du réseau. Cette action empêche le logiciel malveillant de communiquer avec son serveur de commande et de contrôle ou de se propager à d'autres systèmes du réseau.

2. Exécutez une analyse complète des logiciels malveillants

Utilisez des programmes anti-malware fiables pour analyser le système infecté. Certains des meilleurs outils pour détecter et supprimer les menaces avancées comme Crowdoor incluent :

  • Malwarebytes
  • ESET Internet Security
  • Bitdefender Total Security

Ces outils doivent être mis à jour régulièrement pour détecter les nouvelles variantes de logiciels malveillants.

3. Recherchez les fichiers DLL suspects

Crowdoor utilise souvent des techniques de chargement latéral de DLL pour échapper à la détection. Recherchez les fichiers DLL suspects ou non autorisés, en particulier dans les répertoires associés à des installations de logiciels légitimes.

4. Vérifiez les balises de frappe au cobalt

Depuis que Crowdoor a lancé Cobalt Strike, il est essentiel de surveiller le système pour détecter les balises Cobalt Strike. Des outils de sécurité comme Wireshark ou Zeek peuvent être utiles pour identifier l'activité des balises qui communiquent avec l'infrastructure de l'attaquant.

5. Supprimez les entrées malveillantes

Vérifiez manuellement les entrées de registre, les programmes de démarrage et les tâches planifiées qui peuvent avoir été modifiés pour maintenir la persistance. Supprimez toutes les entrées suspectes pour garantir que Crowdoor ne réinfecte pas le système au redémarrage.

6. Appliquer les correctifs de sécurité

La porte dérobée Crowdoor est généralement diffusée en exploitant des vulnérabilités connues dans des applications Web telles qu'Adobe ColdFusion et Microsoft Exchange Server. Appliquez les derniers correctifs de sécurité (tels que CVE-2023-26360 et CVE-2021-34473) pour éviter toute nouvelle exploitation.

7. Réinstaller le système d'exploitation

Dans les cas où l'infection est profondément enracinée, une réinstallation complète du système d'exploitation peut être nécessaire. Assurez-vous de sauvegarder les fichiers importants (après les avoir analysés pour détecter les programmes malveillants) et de réinstaller le système pour vous assurer qu'aucune trace de la porte dérobée Crowdoor ne subsiste.

Restez protégé

Crowdoor fait partie d'un paysage de menaces plus vaste dans lequel les acteurs de la menace parlant chinois continuent d'exploiter les vulnérabilités des systèmes de gestion de contenu, ciblant des domaines sensibles comme la recherche sur les droits de l'homme. Pour protéger votre système, assurez-vous de mettre à jour régulièrement tous les logiciels, activez les pare-feu et déployez des solutions avancées de détection des menaces. En suivant ces directives, vous pouvez minimiser le risque d'être victime d'attaques de logiciels malveillants sophistiqués comme Crowdoor.

Par Zane
September 6, 2024
Malware
Français
September 6, 2024
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.