Crowdoor Backdoor to niebezpieczne zagrożenie, którego celem są badania nad prawami człowieka
Cyberkampania zorganizowana przez grupę hakerów Tropic Trooper wywołuje poruszenie, zwłaszcza ze względu na jej skupienie na podmiotach rządowych na Bliskim Wschodzie i w Malezji. Tropic Trooper, działający od 2011 r. i znany z atakowania kluczowych sektorów, takich jak opieka zdrowotna i przemysł high-tech, teraz skupił się na instytucjach zaangażowanych w badania nad prawami człowieka. Ataki te podkreślają stałe zagrożenie ze strony grupy, szczególnie w związku z wdrożeniem tylnego wejścia Crowdoor, wariantu wcześniej znanego oprogramowania SparrowDoor.
Kaspersky po raz pierwszy wykrył tę najnowszą falę ataków w czerwcu 2024 r., odkrywając powłokę internetową China Chopper na zainfekowanych serwerach obsługujących platformę Umbraco CMS. Atakujący wykorzystali znane luki w zabezpieczeniach aplikacji internetowych, takich jak Adobe ColdFusion i Microsoft Exchange Server, aby dostarczyć ten backdoor.
Table of Contents
Czym jest Crowdoor Backdoor?
Crowdoor to wyrafinowany implant malware używany przez Tropic Trooper do infiltracji docelowych systemów. Po raz pierwszy zaobserwowany w czerwcu 2023 r., ten backdoor działa głównie jako program ładujący, usuwając niesławne narzędzie Cobalt Strike, aby utrzymać trwałość. Crowdoor umożliwia atakującym:
- Zbieraj poufne informacje
- Wystrzel pocisk odwrócony, aby zachować kontrolę
- Usuń ślady innych plików malware
- Zakończyć samoistnie, aby uniknąć wykrycia
Tropic Trooper wykorzystuje różne techniki, takie jak boczne ładowanie DLL, unikanie obrony i ruch boczny, aby zmaksymalizować wpływ złośliwego oprogramowania. Jego obecność w podmiotach rządowych skupionych na badaniach praw człowieka sygnalizuje poważne zagrożenie cyberbezpieczeństwa, które wymaga natychmiastowej uwagi.
Jak usunąć Crowdoor Backdoor
Jeśli podejrzewasz, że Twój system został zainfekowany przez backdoor Crowdoor, podjęcie szybkich działań jest kluczowe, aby zapobiec dalszym szkodom. Oto przewodnik krok po kroku, jak wykryć i usunąć złośliwe oprogramowanie:
1. Odizoluj zainfekowany system
Natychmiast odłącz zainfekowany system od sieci. Ta czynność zapobiega komunikacji złośliwego oprogramowania z serwerem poleceń i kontroli lub rozprzestrzenianiu się na inne systemy w sieci.
2. Uruchom kompleksowe skanowanie w poszukiwaniu złośliwego oprogramowania
Użyj zaufanych programów antywirusowych, aby przeskanować zainfekowany system. Niektóre z najlepszych narzędzi do wykrywania i usuwania zaawansowanych zagrożeń, takich jak Crowdoor, obejmują:
- Malwarebytes
- ESET Internet Security
- Bitdefender Total Security
Narzędzia te należy regularnie aktualizować, aby wykrywały nowsze odmiany złośliwego oprogramowania.
3. Przeprowadź inspekcję podejrzanych plików DLL
Crowdoor często używa technik bocznego ładowania DLL, aby uniknąć wykrycia. Zbadaj pod kątem podejrzanych lub nieautoryzowanych plików DLL, zwłaszcza w katalogach powiązanych z legalnymi instalacjami oprogramowania.
4. Sprawdź obecność sygnalizatorów Cobalt Strike
Ponieważ Crowdoor rezygnuje z Cobalt Strike, konieczne jest monitorowanie systemu pod kątem sygnałów Cobalt Strike. Narzędzia bezpieczeństwa, takie jak Wireshark lub Zeek, mogą być przydatne w identyfikowaniu aktywności sygnałów, które komunikują się z infrastrukturą atakującego.
5. Usuń złośliwe wpisy
Ręcznie przejrzyj wpisy rejestru, programy startowe i zaplanowane zadania, które mogły zostać zmienione w celu zachowania trwałości. Usuń wszelkie podejrzane wpisy, aby upewnić się, że Crowdoor nie zainfekuje ponownie systemu po ponownym uruchomieniu.
6. Zastosuj poprawki bezpieczeństwa
Backdoor Crowdoor jest zazwyczaj dostarczany przez wykorzystanie znanych luk w aplikacjach internetowych, takich jak Adobe ColdFusion i Microsoft Exchange Server. Zastosuj najnowsze poprawki zabezpieczeń (takie jak CVE-2023-26360 i CVE-2021-34473), aby zapobiec dalszej eksploatacji.
7. Ponowna instalacja systemu operacyjnego
W przypadkach, gdy infekcja jest głęboko zakorzeniona, może być konieczna pełna ponowna instalacja systemu operacyjnego. Upewnij się, że wykonałeś kopię zapasową ważnych plików (po przeskanowaniu ich pod kątem złośliwego oprogramowania) i ponownie zainstaluj system, aby upewnić się, że nie pozostaną żadne ślady tylnego wejścia Crowdoor.
Zachowaj ochronę
Crowdoor jest częścią większego krajobrazu zagrożeń, w którym chińskojęzyczni aktorzy zagrożeń nadal wykorzystują luki w systemach zarządzania treścią, atakując wrażliwe obszary, takie jak badania nad prawami człowieka. Aby chronić swój system, zapewnij regularne aktualizacje całego oprogramowania, włącz zapory sieciowe i wdróż zaawansowane rozwiązania do wykrywania zagrożeń. Postępując zgodnie z tymi wytycznymi, możesz zminimalizować ryzyko stania się ofiarą wyrafinowanych ataków złośliwego oprogramowania, takich jak Crowdoor.
