Crowdoor 後門是針對人權研究的危險威脅
由 Tropic Trooper 駭客組織精心策劃的網路活動一直在掀起波瀾,特別是其重點針對中東和馬來西亞的政府實體。 Tropic Trooper 自 2011 年以來一直活躍,以醫療保健和高科技行業等關鍵行業為目標而聞名,現在將目光投向了參與人權研究的機構。這些攻擊凸顯了該組織的持續威脅,特別是部署了 Crowdoor 後門(先前已知的 SparrowDoor 惡意軟體的變體)。
卡巴斯基於 2024 年 6 月首次偵測到這波最新攻擊,在運行 Umbraco CMS 平台的受感染伺服器上發現了 China Chopper Web shell。攻擊者利用 Adobe ColdFusion 和 Microsoft Exchange Server 等 Web 應用程式中的已知漏洞來提供此後門。
Table of Contents
什麼是 Crowdoor 後門?
Crowdoor 是 Tropic Trooper 用來滲透目標系統的複雜惡意軟體植入程式。該後門於 2023 年 6 月首次被觀察到,其主要功能是作為加載程序,丟棄臭名昭著的 Cobalt Strike 工具以保持持久性。 Crowdoor 允許攻擊者:
- 收穫敏感資訊
- 啟動反向 shell 來維持控制
- 清除其他惡意軟體檔案的痕跡
- 終止自身以逃避偵測
Tropic Trooper 使用各種技術(例如 DLL 側面載重、防禦規避和橫向移動)來最大化惡意軟體的影響。它在專注於人權研究的政府實體中的存在標誌著嚴重的網路安全威脅,需要立即關注。
如何移除 Crowdoor 後門
如果您懷疑您的系統已被 Crowdoor 後門感染,則迅速採取行動對於防止進一步損壞至關重要。以下是有關如何偵測和刪除惡意軟體的逐步指南:
1.隔離受感染的系統
立即斷開受感染系統的網路連線。此操作可防止惡意軟體與其命令和控制伺服器通訊或傳播到網路內的其他系統。
2.運行全面的惡意軟體掃描
利用受信任的反惡意軟體程式掃描受感染的系統。用於偵測和消除 Crowdoor 等高階威脅的一些最佳工具包括:
- 惡意軟體位元組
- ESET網路安全軟體
- Bitdefender 全面安全
這些工具應定期更新,以檢測較新的惡意軟體變體。
3.檢查可疑的 DLL 文件
Crowdoor 經常使用 DLL 側載技術來逃避偵測。調查任何可疑或未經授權的 DLL 文件,特別是在與合法軟體安裝相關的目錄中。
4.檢查 Cobalt Strike 信標
由於 Crowdoor 放棄了 Cobalt Strike,因此監控系統中的 Cobalt Strike 信標至關重要。 Wireshark 或 Zeek 等安全工具可用於識別與攻擊者基礎架構通訊的信標活動。
5.刪除惡意條目
手動檢查可能已變更的登錄項目、啟動程序和排程任務以保持持久性。刪除任何可疑條目以確保 Crowdoor 不會在重新啟動時重新感染系統。
6.應用安全補丁
Crowdoor 後門通常是透過利用 Adobe ColdFusion 和 Microsoft Exchange Server 等 Web 應用程式中的已知漏洞來實現的。應用最新的安全性修補程式(例如 CVE-2023-26360 和 CVE-2021-34473)以防止進一步利用。
7.重新安裝作業系統
如果感染根深蒂固,可能需要重新安裝完整的作業系統。請務必備份重要文件(在掃描惡意軟體後)並重新安裝系統,以確保不會留下 Crowdoor 後門的痕跡。
受到保護
Crowdoor 是更大威脅格局的一部分,其中講中文的威脅行為者繼續利用內容管理系統中的漏洞,針對人權研究等敏感領域。為了保護您的系統,請確保定期更新所有軟體、啟用防火牆並部署進階威脅偵測解決方案。遵循這些準則,您可以最大限度地降低成為 Crowdoor 等複雜惡意軟體攻擊受害者的風險。
