Crowdoor Backdoor er en farlig trussel rettet mot menneskerettighetsstudier
En cyberkampanje orkestrert av Tropic Trooper-hackergruppen har skapt bølger, spesielt med fokus på statlige enheter i Midtøsten og Malaysia. Tropic Trooper, aktiv siden 2011 og kjent for å målrette mot kritiske sektorer som helsevesen og høyteknologiske industrier, har nå rettet blikket mot institusjoner som er involvert i menneskerettighetsstudier. Disse angrepene fremhever gruppens vedvarende trussel, spesielt med utplasseringen av Crowdoor-bakdøren, en variant av den tidligere kjente SparrowDoor-malwaren.
Kaspersky oppdaget først denne siste bølgen av angrep i juni 2024, og oppdaget China Chopper-nettskallet på kompromitterte servere som kjører Umbraco CMS-plattformen. Angriperne utnyttet kjente sårbarheter i nettapplikasjoner som Adobe ColdFusion og Microsoft Exchange Server for å levere denne bakdøren.
Table of Contents
Hva er Crowdoor Backdoor?
Crowdoor er et sofistikert skadelig programvare-implantat som brukes av Tropic Trooper for å infiltrere målrettede systemer. Denne bakdøren ble først observert i juni 2023, og fungerer først og fremst som en laster, og dropper det beryktede Cobalt Strike-verktøyet for å opprettholde utholdenhet. Crowdoor lar angripere:
- Innhent sensitiv informasjon
- Start et omvendt skall for å opprettholde kontrollen
- Slett spor etter andre skadelige filer
- Avslutt seg selv for å unngå oppdagelse
Tropic Trooper bruker ulike teknikker som DLL-sidelasting, forsvarsunndragelse og sideveis bevegelse for å maksimere skadelig programvares innvirkning. Dens tilstedeværelse i statlige enheter med fokus på menneskerettighetsstudier signaliserer en alvorlig cybersikkerhetstrussel som krever umiddelbar oppmerksomhet.
Hvordan fjerne Crowdoor Backdoor
Hvis du mistenker at systemet ditt har blitt infisert av Crowdoor-bakdøren, er det avgjørende å handle raskt for å forhindre ytterligere skade. Her er en trinn-for-trinn-guide for hvordan du oppdager og fjerner skadelig programvare:
1. Isoler det infiserte systemet
Koble umiddelbart det kompromitterte systemet fra nettverket. Denne handlingen forhindrer skadelig programvare i å kommunisere med kommando-og-kontrollserveren eller spre seg til andre systemer i nettverket.
2. Kjør en omfattende skanning av skadelig programvare
Bruk pålitelige anti-malware-programmer for å skanne det infiserte systemet. Noen av de beste verktøyene for å oppdage og fjerne avanserte trusler som Crowdoor inkluderer:
- Malwarebytes
- ESET Internet Security
- Bitdefender Total Security
Disse verktøyene bør oppdateres regelmessig for å oppdage nyere skadevarevarianter.
3. Se etter mistenkelige DLL-filer
Crowdoor bruker ofte DLL-sidelastingsteknikker for å unngå deteksjon. Undersøk for mistenkelige eller uautoriserte DLL-filer, spesielt i kataloger knyttet til legitime programvareinstallasjoner.
4. Se etter Cobalt Strike Beacons
Siden Crowdoor dropper Cobalt Strike, er det viktig å overvåke systemet for Cobalt Strike beacons. Sikkerhetsverktøy som Wireshark eller Zeek kan være nyttige for å identifisere beacon-aktivitet som kommuniserer med angriperens infrastruktur.
5. Fjern ondsinnede oppføringer
Se manuelt gjennom registeroppføringer, oppstartsprogrammer og planlagte oppgaver som kan ha blitt endret for å opprettholde utholdenhet. Fjern eventuelle mistenkelige oppføringer for å sikre at Crowdoor ikke infiserer systemet på nytt ved omstart.
6. Bruk sikkerhetsoppdateringer
Crowdoor-bakdøren leveres vanligvis ved å utnytte kjente sårbarheter i nettapplikasjoner som Adobe ColdFusion og Microsoft Exchange Server. Bruk de nyeste sikkerhetsoppdateringene (som CVE-2023-26360 og CVE-2021-34473) for å forhindre ytterligere utnyttelse.
7. Installer operativsystemet på nytt
I tilfeller der infeksjonen er dypt forankret, kan en fullstendig ominstallering av OS være nødvendig. Sørg for å sikkerhetskopiere viktige filer (etter at de har blitt skannet for skadelig programvare) og installer systemet på nytt for å sikre at ingen spor etter Crowdoor-bakdøren er igjen.
Hold deg beskyttet
Crowdoor er en del av et større trussellandskap der kinesisktalende trusselaktører fortsetter å utnytte sårbarheter i innholdsstyringssystemer, rettet mot sensitive områder som menneskerettighetsforskning. For å beskytte systemet ditt, sørg for regelmessige oppdateringer av all programvare, aktiver brannmurer og distribuer avanserte trusseldeteksjonsløsninger. Ved å følge disse retningslinjene kan du minimere risikoen for å bli offer for sofistikerte skadevareangrep som Crowdoor.
