Crowdoor Porta del darrere
Les portes del darrere com Crowdoor representen un perill crític per a les organitzacions i els individus en el panorama en constant evolució de les amenaces a la ciberseguretat. Les portes del darrere permeten als atacants evitar les mesures de seguretat i obtenir accés no autoritzat als sistemes, sovint sense ser detectats durant períodes prolongats. El Crowdoor Backdoor , que recentment ha ressorgit en una campanya dirigida a entitats governamentals a l'Orient Mitjà i Malàisia, és especialment amenaçador a causa de la seva capacitat per comprometre objectius d'alt valor de manera persistent. Entendre les seves capacitats i mètodes de distribució és crucial per protegir les xarxes sensibles d'incompliments potencialment devastadors.
Taula de continguts
Una amenaça cibernètica persistent: la porta del darrere de Crowdoor
Observat per primera vegada el juny de 2023, Crowdoor és una variant de la porta del darrere de SparrowDoor documentada anteriorment identificada el 2021. Crowdoor ha evolucionat, funcionant no només com a porta del darrere sinó també com a carregador capaç de desplegar altres eines amenaçadores, inclòs Cobalt Strike , un marc popular utilitzat. per a tasques posteriors a l'explotació.
El programari maliciós Crowdoor atorga als atacants un alt grau de control sobre els sistemes compromesos, cosa que els permet executar ordres de forma remota, establir shells inversos i fins i tot eliminar proves de la seva presència eliminant altres fitxers no segurs. La seva versatilitat, combinada amb la seva capacitat de persistir en amfitrions infectats, fa de Crowdoor una eina perillosa en l'arsenal de grups d'amenaça persistent avançada (APT).
Tropic Trooper: l'APT darrere de la campanya Crowdoor
L'actor d'amenaces cibernètiques Tropic Trooper , també conegut per àlies com APT23, Earth Centaur, KeyBoy i Pirate Panda, té una llarga trajectòria d'orientació als sectors governamentals, sanitaris i d'alta tecnologia, principalment l'Àsia oriental. Des del 2011, aquest col·lectiu de parla xinesa ha llançat atacs contra entitats a Taiwan, Hong Kong i les Filipines. Tot i així, les seves activitats s'han expandit recentment per incloure objectius a l'Orient Mitjà i Malàisia.
Tropic Trooper és conegut per utilitzar tàctiques i eines sofisticades, inclòs programari maliciós compartit com l'intèrpret web de China Chopper , que proporciona accés remot a servidors compromesos. La campanya recent del grup, detectada el 2024, va ser dissenyada per desplegar Crowdoor als sistemes vulnerables. Tot i que finalment es van frustrar els seus esforços, el descobriment de Crowdoor subratlla la naturalesa persistent i en evolució de les amenaces APT.
La cadena d'atac Crowdoor: un enfocament sofisticat
La cadena d'atac que ofereix Crowdoor comença amb l'explotació de vulnerabilitats en servidors web d'accés públic, sovint els que executen sistemes de gestió de continguts (CMS) de codi obert com Umbraco . En comprometre aquests sistemes, els atacants poden carregar eines amenaçadores com l'intèrpret web de China Chopper per mantenir l'accés remot. Un cop dins de la xarxa, els atacants despleguen la porta del darrere Crowdoor , que actua com a carregador i com a amenaça persistent, permetent la descàrrega i l'execució de programari maliciós addicional, com Cobalt Strike , per aconseguir nivells de compromís més profunds.
A més de facilitar l'execució d'ordres remots i l'exfiltració de dades, Crowdoor té la capacitat d'acabar els seus propis processos, esborrar altres fitxers de programari maliciós i eludir la detecció, cosa que dificulta molt la identificació i neutralització dels defensors.
Tàctiques de distribució qüestionables: com Crowdoor s'infiltra en els sistemes
Les portes del darrere com Crowdoor sovint tenen èxit a causa de tàctiques de distribució sofisticades i enganyoses. En el cas de la campanya Crowdoor , els atacants van aprofitar plataformes CMS compromeses com a punts d'entrada. Aquestes plataformes de codi obert poden tenir vulnerabilitats sense pegats que permeten als atacants penjar fitxers danyats, incloses les intèrprets d'ordres web com China Chopper . A partir d'aquí, la porta posterior es pot instal·lar en silenci al sistema objectiu sense activar alarmes.
Un altre mètode comú per distribuir les portes del darrere com Crowdoor inclou campanyes de pesca. En aquestes campanyes, els atacants envien correus electrònics aparentment legítims que contenen enllaços o fitxers adjunts fraudulents. Un cop obert, el programari maliciós es pot instal·lar en silenci al sistema, permetent a l'atacant evitar els controls de seguretat i obtenir accés a llarg termini a la xarxa.
La combinació d'explotació web i enginyeria social subratlla la versatilitat d'actors d'amenaça com Tropic Trooper , que adapten les seves tàctiques a les debilitats de les defenses del seu objectiu.
Defensant-se contra Crowdoor Backdoor
La prevenció d'infeccions per portes posteriors sofisticades com Crowdoor requereix un enfocament de seguretat de diverses capes. Aquestes són les mesures vitals que les organitzacions poden prendre:
- Gestió de pedaços : actualitzeu i apliqueu regularment tot el programari, incloses les plataformes CMS de codi obert, per tancar les vulnerabilitats conegudes que els atacants poden explotar.
- Supervisió de la xarxa : implementeu una monitorització robusta de la xarxa per detectar activitats inusuals, com ara l'accés no autoritzat o la càrrega de fitxers, que puguin indicar un intent d'infiltració.
El Crowdoor Backdoor representa una amenaça nociva i persistent, especialment quan l'executen actors experimentats en amenaces com Tropic Trooper . La seva capacitat per oferir programari maliciós addicional, mantenir un accés sigilós i exfiltrar dades sensibles subratlla la importància de mantenir la vigilància i pràctiques sòlides de ciberseguretat. En comprendre els mètodes d'infiltració i emprant mesures de seguretat proactives, les organitzacions poden reduir el risc de ser víctimes d'aquesta i d'altres amenaces cibernètiques avançades.
