Crowdoor Backdoor è una minaccia pericolosa che prende di mira gli studi sui diritti umani
Una campagna informatica orchestrata dal gruppo di hacker Tropic Trooper sta facendo scalpore, soprattutto per la sua attenzione alle entità governative in Medio Oriente e Malesia. Tropic Trooper, attivo dal 2011 e noto per aver preso di mira settori critici come l'assistenza sanitaria e le industrie high-tech, ha ora puntato gli occhi sulle istituzioni coinvolte negli studi sui diritti umani. Questi attacchi evidenziano la minaccia persistente del gruppo, in particolare con l'implementazione della backdoor Crowdoor, una variante del malware SparrowDoor precedentemente noto.
Kaspersky ha rilevato per la prima volta questa ultima ondata di attacchi a giugno 2024, scoprendo la web shell China Chopper su server compromessi che eseguivano la piattaforma Umbraco CMS. Gli aggressori hanno sfruttato vulnerabilità note in applicazioni web come Adobe ColdFusion e Microsoft Exchange Server per distribuire questa backdoor.
Table of Contents
Cos'è Crowdoor Backdoor?
Crowdoor è un sofisticato impianto di malware utilizzato da Tropic Trooper per infiltrarsi nei sistemi presi di mira. Osservato per la prima volta nel giugno 2023, questo backdoor funziona principalmente come un loader, rilasciando il famigerato strumento Cobalt Strike per mantenere la persistenza. Crowdoor consente agli aggressori di:
- Raccogli informazioni sensibili
- Avviare un reverse shell per mantenere il controllo
- Cancella le tracce di altri file malware
- Terminare se stesso per eludere il rilevamento
Tropic Trooper utilizza varie tecniche come DLL side-loading, defense evasion e lateral movement per massimizzare l'impatto del malware. La sua presenza in entità governative focalizzate sugli studi sui diritti umani segnala una grave minaccia alla sicurezza informatica che richiede un'attenzione immediata.
Come rimuovere Crowdoor Backdoor
Se sospetti che il tuo sistema sia stato infettato dal backdoor Crowdoor, è fondamentale agire rapidamente per prevenire ulteriori danni. Ecco una guida passo passo su come rilevare e rimuovere il malware:
1. Isolare il sistema infetto
Disconnettere immediatamente il sistema compromesso dalla rete. Questa azione impedisce al malware di comunicare con il suo server di comando e controllo o di diffondersi ad altri sistemi all'interno della rete.
2. Esegui una scansione completa del malware
Utilizza programmi anti-malware affidabili per scansionare il sistema infetto. Alcuni dei migliori strumenti per rilevare e rimuovere minacce avanzate come Crowdoor includono:
- Malwarebytes
- Sicurezza Internet ESET
- Sicurezza totale di Bitdefender
Questi strumenti dovrebbero essere aggiornati regolarmente per rilevare le varianti più recenti del malware.
3. Ispezionare i file DLL sospetti
Crowdoor usa spesso tecniche di caricamento laterale delle DLL per eludere il rilevamento. Indagare su eventuali file DLL sospetti o non autorizzati, in particolare nelle directory associate a installazioni software legittime.
4. Controllare i fari di segnalazione al cobalto
Poiché Crowdoor rilascia Cobalt Strike, è essenziale monitorare il sistema per i beacon Cobalt Strike. Strumenti di sicurezza come Wireshark o Zeek possono essere utili per identificare l'attività dei beacon che comunica con l'infrastruttura dell'attaccante.
5. Rimuovere le voci dannose
Esaminare manualmente le voci del registro, i programmi di avvio e le attività pianificate che potrebbero essere state modificate per mantenere la persistenza. Rimuovere tutte le voci sospette per garantire che Crowdoor non reinfetti il sistema al riavvio.
6. Applicare le patch di sicurezza
La backdoor Crowdoor viene solitamente distribuita sfruttando vulnerabilità note in applicazioni web come Adobe ColdFusion e Microsoft Exchange Server. Applica le patch di sicurezza più recenti (come CVE-2023-26360 e CVE-2021-34473) per impedire ulteriori sfruttamenti.
7. Reinstallare il sistema operativo
Nei casi in cui l'infezione è profondamente radicata, potrebbe essere necessaria una reinstallazione completa del sistema operativo. Assicurati di eseguire il backup dei file importanti (dopo averli scansionati per malware) e di reinstallare il sistema per assicurarti che non rimangano tracce del backdoor Crowdoor.
Rimani protetto
Crowdoor fa parte di un panorama di minacce più ampio in cui gli attori delle minacce di lingua cinese continuano a sfruttare le vulnerabilità nei sistemi di gestione dei contenuti, prendendo di mira aree sensibili come la ricerca sui diritti umani. Per proteggere il tuo sistema, assicurati di effettuare aggiornamenti regolari a tutti i software, abilita i firewall e distribuisci soluzioni avanzate di rilevamento delle minacce. Seguendo queste linee guida, puoi ridurre al minimo il rischio di cadere vittima di attacchi malware sofisticati come Crowdoor.
