Crowdoor 后门是针对人权研究的危险威胁
Tropic Trooper 黑客组织策划的网络攻击活动引起了轰动,尤其是针对中东和马来西亚的政府机构。Tropic Trooper 自 2011 年以来一直活跃,以针对医疗保健和高科技行业等关键行业而闻名,现在它已将目光投向从事人权研究的机构。这些攻击凸显了该组织的持续威胁,尤其是部署了 Crowdoor 后门,这是之前已知的 SparrowDoor 恶意软件的变种。
卡巴斯基于 2024 年 6 月首次检测到这波最新攻击,在运行 Umbraco CMS 平台的受感染服务器上发现了 China Chopper web shell。攻击者利用 Adobe ColdFusion 和 Microsoft Exchange Server 等 Web 应用程序中的已知漏洞来传播此后门。
Table of Contents
什么是 Crowdoor Backdoor?
Crowdoor 是一种复杂的恶意软件植入程序,Tropic Trooper 使用它来渗透目标系统。该后门于 2023 年 6 月首次被发现,主要用作加载程序,投放臭名昭著的 Cobalt Strike 工具以保持持久性。Crowdoor 允许攻击者:
- 收集敏感信息
- 启动反向 shell 来保持控制
- 清除其他恶意软件文件的痕迹
- 终止自身以逃避检测
Tropic Trooper 使用各种技术(例如 DLL 侧载、防御规避和横向移动)来最大化恶意软件的影响。该恶意软件出现在专注于人权研究的政府机构中,这表明存在严重的网络安全威胁,需要立即引起注意。
如何删除 Crowdoor 后门
如果您怀疑您的系统已被 Crowdoor 后门感染,请迅速采取行动以防止进一步损害。以下是有关如何检测和删除恶意软件的分步指南:
1.隔离受感染的系统
立即断开受感染系统与网络的连接。此操作可防止恶意软件与其命令和控制服务器通信或传播到网络内的其他系统。
2.运行全面的恶意软件扫描
利用可信赖的反恶意软件程序扫描受感染的系统。检测和清除 Crowdoor 等高级威胁的最佳工具包括:
- Malwarebytes
- ESET 网络安全软件
- Bitdefender 全方位安全软件
这些工具应该定期更新以检测新的恶意软件变种。
3.检查可疑的 DLL 文件
Crowdoor 经常使用 DLL 侧载技术来逃避检测。调查任何可疑或未经授权的 DLL 文件,尤其是与合法软件安装相关的目录中的文件。
4.检查 Cobalt Strike Beacons
由于 Crowdoor 放弃了 Cobalt Strike,因此监控系统中的 Cobalt Strike 信标至关重要。Wireshark 或 Zeek 等安全工具可用于识别与攻击者基础设施通信的信标活动。
5.删除恶意条目
手动检查注册表项、启动程序和计划任务,这些内容可能已被更改以保持持久性。删除任何可疑条目,以确保 Crowdoor 不会在重启时重新感染系统。
6.应用安全补丁
Crowdoor 后门通常通过利用 Adobe ColdFusion 和 Microsoft Exchange Server 等 Web 应用程序中的已知漏洞来传播。应用最新的安全补丁(例如 CVE-2023-26360 和 CVE-2021-34473)以防止进一步利用。
7.重新安装操作系统
如果感染根深蒂固,可能需要完全重新安装操作系统。请务必备份重要文件(在扫描恶意软件后)并重新安装系统,以确保 Crowdoor 后门没有留下任何痕迹。
保持受保护
Crowdoor 是更大威胁格局的一部分,其中讲中文的威胁行为者继续利用内容管理系统中的漏洞,针对人权研究等敏感领域。为了保护您的系统,请确保定期更新所有软件、启用防火墙并部署高级威胁检测解决方案。通过遵循这些准则,您可以最大限度地降低成为 Crowdoor 等复杂恶意软件攻击受害者的风险。
