Бэкдор Crowdoor представляет собой опасную угрозу для исследований в области прав человека
Киберкампания, организованная хакерской группой Tropic Trooper, произвела фурор, особенно с ее фокусом на правительственных учреждениях на Ближнем Востоке и в Малайзии. Tropic Trooper, действующая с 2011 года и известная своими атаками на критически важные секторы, такие как здравоохранение и высокотехнологичные отрасли, теперь нацелилась на учреждения, занимающиеся исследованиями в области прав человека. Эти атаки подчеркивают постоянную угрозу со стороны группы, особенно с развертыванием бэкдора Crowdoor, варианта ранее известного вредоносного ПО SparrowDoor.
Kaspersky впервые обнаружил эту последнюю волну атак в июне 2024 года, обнаружив веб-оболочку China Chopper на скомпрометированных серверах, работающих на платформе Umbraco CMS. Злоумышленники использовали известные уязвимости в веб-приложениях, таких как Adobe ColdFusion и Microsoft Exchange Server, чтобы доставить этот бэкдор.
Table of Contents
Что такое бэкдор Crowdoor?
Crowdoor — это сложный вредоносный имплант, используемый Tropic Trooper для проникновения в целевые системы. Впервые обнаруженный в июне 2023 года, этот бэкдор в основном выполняет функцию загрузчика, сбрасывая печально известный инструмент Cobalt Strike для поддержания устойчивости. Crowdoor позволяет злоумышленникам:
- Собирайте конфиденциальную информацию
- Запустите обратный снаряд, чтобы сохранить контроль
- Удалить следы других вредоносных файлов
- Уничтожить себя, чтобы избежать обнаружения
Tropic Trooper использует различные методы, такие как загрузка DLL, обход защиты и боковое перемещение, чтобы максимизировать воздействие вредоносного ПО. Его присутствие в правительственных организациях, занимающихся исследованиями прав человека, сигнализирует о серьезной угрозе кибербезопасности, которая требует немедленного внимания.
Как удалить бэкдор Crowdoor
Если вы подозреваете, что ваша система заражена бэкдором Crowdoor, принятие быстрых мер имеет решающее значение для предотвращения дальнейшего ущерба. Вот пошаговое руководство по обнаружению и удалению вредоносного ПО:
1. Изолируйте зараженную систему
Немедленно отключите скомпрометированную систему от сети. Это действие не позволит вредоносному ПО связаться с его сервером управления и контроля или распространиться на другие системы в сети.
2. Запустите комплексное сканирование на наличие вредоносных программ
Используйте надежные антивирусные программы для сканирования зараженной системы. Некоторые из лучших инструментов для обнаружения и удаления сложных угроз, таких как Crowdoor, включают:
- Malwarebytes
- ESET Интернет Безопасность
- Bitdefender Полная безопасность
Эти инструменты следует регулярно обновлять для обнаружения новых вариантов вредоносного ПО.
3. Проверьте наличие подозрительных DLL-файлов
Crowdoor часто использует методы боковой загрузки DLL, чтобы избежать обнаружения. Исследуйте любые подозрительные или несанкционированные файлы DLL, особенно в каталогах, связанных с легитимными установками программного обеспечения.
4. Проверьте наличие кобальтовых ударных маячков
С тех пор как Crowdoor отменил Cobalt Strike, необходимо отслеживать наличие маяков Cobalt Strike в системе. Такие инструменты безопасности, как Wireshark или Zeek, могут быть полезны для определения активности маяков, которые взаимодействуют с инфраструктурой злоумышленника.
5. Удалить вредоносные записи
Вручную проверьте записи реестра, программы автозагрузки и запланированные задачи, которые могли быть изменены для сохранения устойчивости. Удалите все подозрительные записи, чтобы гарантировать, что Crowdoor не заразит систему повторно после перезагрузки.
6. Примените исправления безопасности
Бэкдор Crowdoor обычно доставляется путем эксплуатации известных уязвимостей в веб-приложениях, таких как Adobe ColdFusion и Microsoft Exchange Server. Примените последние исправления безопасности (такие как CVE-2023-26360 и CVE-2021-34473), чтобы предотвратить дальнейшую эксплуатацию.
7. Переустановите операционную систему.
В случаях, когда заражение глубоко укоренилось, может потребоваться полная переустановка ОС. Обязательно сделайте резервную копию важных файлов (после их сканирования на наличие вредоносного ПО) и переустановите систему, чтобы убедиться, что не осталось никаких следов бэкдора Crowdoor.
Оставайтесь защищенными
Crowdoor является частью более обширного ландшафта угроз, где китайскоязычные субъекты угроз продолжают использовать уязвимости в системах управления контентом, нацеливаясь на такие чувствительные области, как исследования в области прав человека. Чтобы защитить свою систему, регулярно обновляйте все программное обеспечение, включите брандмауэры и разверните передовые решения по обнаружению угроз. Следуя этим рекомендациям, вы можете свести к минимуму риск стать жертвой сложных атак вредоносного ПО, таких как Crowdoor.
