クラウドドアバックドアは人権研究を狙う危険な脅威
Tropic Trooper ハッカー グループが組織したサイバー攻撃が、特に中東とマレーシアの政府機関を標的にしていることで大きな話題になっています。2011 年から活動し、医療やハイテク産業などの重要分野を標的にしていることで知られる Tropic Trooper は、現在、人権研究に関わる機関に狙いを定めています。これらの攻撃は、特に以前から知られていた SparrowDoor マルウェアの亜種である Crowdoor バックドアを展開していることから、このグループの根強い脅威を浮き彫りにしています。
Kaspersky は 2024 年 6 月にこの最新の攻撃の波を初めて検出し、Umbraco CMS プラットフォームを実行している侵害されたサーバー上で China Chopper Web シェルを発見しました。攻撃者は、Adobe ColdFusion や Microsoft Exchange Server などの Web アプリケーションの既知の脆弱性を悪用して、このバックドアを配信しました。
Table of Contents
Crowdoor バックドアとは何ですか?
Crowdoor は Tropic Trooper が標的のシステムに侵入するために使用する高度なマルウェア インプラントです。2023 年 6 月に初めて確認されたこのバックドアは、主にローダーとして機能し、悪名高い Cobalt Strike ツールをドロップして永続性を維持します。Crowdoor により、攻撃者は次のことが可能になります。
- 機密情報を収集する
- 制御を維持するためにリバースシェルを起動する
- 他のマルウェアファイルの痕跡を消去する
- 検出を回避するために自ら終了する
Tropic Trooper は、DLL サイドローディング、防御回避、横方向の移動など、さまざまな手法を使用してマルウェアの影響を最大化します。人権研究に重点を置く政府機関に Tropic Trooper が存在することは、早急な対応が必要な深刻なサイバーセキュリティの脅威を示しています。
Crowdoor バックドアを削除する方法
システムが Crowdoor バックドアに感染した疑いがある場合は、さらなる被害を防ぐために迅速な対応が不可欠です。マルウェアを検出して削除する方法については、次の手順に従ってください。
1.感染したシステムを隔離する
侵害されたシステムをネットワークから直ちに切断します。このアクションにより、マルウェアがコマンド アンド コントロール サーバーと通信したり、ネットワーク内の他のシステムに拡散したりするのを防ぐことができます。
2.包括的なマルウェアスキャンを実行する
信頼できるマルウェア対策プログラムを使用して、感染したシステムをスキャンします。Crowdoor のような高度な脅威を検出して削除するための最適なツールには、次のものがあります。
- マルウェアバイト
- ESET インターネット セキュリティ
- ビットディフェンダートータルセキュリティ
新しいマルウェアの亜種を検出するために、これらのツールは定期的に更新する必要があります。
3.疑わしいDLLファイルを検査する
Crowdoor は検出を回避するために DLL サイドローディング技術をよく使用します。特に、正当なソフトウェアのインストールに関連付けられたディレクトリにある疑わしい DLL ファイルや許可されていない DLL ファイルを調査してください。
4.コバルトストライクビーコンを確認する
Crowdoor は Cobalt Strike をドロップするため、システムを監視して Cobalt Strike ビーコンを探すことが重要です。Wireshark や Zeek などのセキュリティ ツールは、攻撃者のインフラストラクチャと通信するビーコン アクティビティを識別するのに役立ちます。
5.悪意のあるエントリを削除する
永続性を維持するために変更された可能性のあるレジストリ エントリ、スタートアップ プログラム、スケジュールされたタスクを手動で確認します。疑わしいエントリを削除して、再起動時に Crowdoor がシステムに再感染しないようにします。
6.セキュリティパッチを適用する
Crowdoor バックドアは通常、Adobe ColdFusion や Microsoft Exchange Server などの Web アプリケーションの既知の脆弱性を悪用して配信されます。さらなる悪用を防ぐために、最新のセキュリティ パッチ (CVE-2023-26360 や CVE-2021-34473 など) を適用してください。
7.オペレーティングシステムを再インストールする
感染が深く根付いている場合は、OS の完全な再インストールが必要になる場合があります。重要なファイルを必ずバックアップし (マルウェアのスキャン後)、システムを再インストールして、Crowdoor バックドアの痕跡が残らないようにしてください。
保護された状態を維持する
Crowdoor は、中国語を話す脅威アクターがコンテンツ管理システムの脆弱性を悪用し、人権研究などの機密領域を標的にし続けている、より大規模な脅威環境の一部です。システムを保護するには、すべてのソフトウェアを定期的に更新し、ファイアウォールを有効にし、高度な脅威検出ソリューションを導入してください。これらのガイドラインに従うことで、Crowdoor のような高度なマルウェア攻撃の被害に遭うリスクを最小限に抑えることができます。
