قیمت چند مجوز تخفیف
پایگاه داده تهدید درهای پشتی Crowdoor Backdoor

Crowdoor Backdoor

تا GoldSparrow در درهای پشتی
ترجمه به:
فارسی

درهای پشتی مانند Crowdoor یک خطر حیاتی برای سازمان ها و افراد در چشم انداز همیشه در حال تحول تهدیدات امنیت سایبری است. درهای پشتی به مهاجمان این امکان را می دهند که اقدامات امنیتی را دور بزنند و به سیستم ها دسترسی غیرمجاز پیدا کنند، که اغلب برای مدت طولانی شناسایی نمی شوند. Crowdoor Backdoor که اخیراً در یک کمپین با هدف قرار دادن نهادهای دولتی در خاورمیانه و مالزی دوباره ظاهر شده است، به دلیل توانایی آن در به خطر انداختن دائمی اهداف با ارزش بالا، به ویژه خطرناک است. درک قابلیت ها و روش های توزیع آن برای محافظت از شبکه های حساس در برابر نفوذهای بالقوه ویرانگر بسیار مهم است.

یک تهدید سایبری مداوم: درب پشتی Crowdoor

Crowdoor که برای اولین بار در ژوئن 2023 مشاهده شد، گونه‌ای از درب پشتی SparrowDoor است که قبلاً مستند شده بود و در سال 2021 شناسایی شد. Crowdoor تکامل یافته است و نه تنها به عنوان یک درب پشتی عمل می‌کند، بلکه به عنوان یک لودر قادر به استقرار سایر ابزارهای تهدید کننده، از جمله Cobalt Strike ، یک چارچوب محبوب مورد استفاده است. برای وظایف پس از بهره برداری

بدافزار Crowdoor به مهاجمان درجه بالایی از کنترل بر روی سیستم‌های در معرض خطر را می‌دهد و به آن‌ها اجازه می‌دهد تا دستورات را از راه دور اجرا کنند، پوسته‌های معکوس ایجاد کنند و حتی با حذف سایر فایل‌های ناامن، شواهد حضورشان را حذف کنند. تطبیق پذیری آن، همراه با توانایی آن برای تداوم بر روی میزبان های آلوده، Crowdoor را به ابزاری خطرناک در زرادخانه گروه های تهدید دائمی پیشرفته (APT) تبدیل می کند.

Tropic Trooper: The APT Behind the Crowdoor Campaign

بازیگر تهدید سایبری Tropic Trooper - که با نام‌هایی مانند APT23، Earth Centaur، KeyBoy و Pirate Panda نیز شناخته می‌شود، سابقه طولانی در هدف قرار دادن بخش‌های دولتی، بهداشت و درمان، و بخش‌های فناوری پیشرفته، به ویژه شرق آسیا دارد. از سال 2011، این گروه چینی زبان حملاتی را علیه نهادها در تایوان، هنگ کنگ و فیلیپین انجام داده است. با این حال، فعالیت های آن اخیراً گسترش یافته و اهدافی در خاورمیانه و مالزی را شامل می شود.

Tropic Trooper به دلیل استفاده از تاکتیک ها و ابزارهای پیچیده، از جمله بدافزارهای مشترک مانند پوسته وب China Chopper ، که دسترسی از راه دور به سرورهای در معرض خطر را فراهم می کند، شناخته شده است. کمپین اخیر این گروه که در سال 2024 شناسایی شد، برای استقرار Crowdoor در سیستم‌های آسیب‌پذیر طراحی شده بود. در حالی که تلاش‌های آن‌ها در نهایت خنثی شد، کشف کرودور ماهیت مداوم و در حال تکامل تهدیدات APT را نشان می‌دهد.

زنجیره حمله Crowdoor: یک رویکرد پیچیده

زنجیره حمله ای که Crowdoor را ارائه می کند با بهره برداری از آسیب پذیری ها در سرورهای وب در دسترس عموم شروع می شود، اغلب آنهایی که از سیستم های مدیریت محتوای منبع باز (CMS) مانند Umbraco استفاده می کنند. با به خطر انداختن این سیستم ها، مهاجمان می توانند ابزارهای تهدید کننده ای مانند پوسته وب چین Chopper را برای حفظ دسترسی از راه دور آپلود کنند. هنگامی که وارد شبکه می شوند، مهاجمان درب پشتی Crowdoor را مستقر می کنند که هم به عنوان یک لودر و هم به عنوان یک تهدید دائمی عمل می کند و امکان دانلود و اجرای بدافزارهای اضافی مانند Cobalt Strike را برای دستیابی به سطوح عمیق تر از سازش فراهم می کند.

علاوه بر تسهیل اجرای فرمان از راه دور و استخراج داده ها، Crowdoor این قابلیت را دارد که فرآیندهای خود را خاتمه دهد، فایل های بدافزار دیگر را پاک کند و از شناسایی فرار کند و شناسایی و خنثی کردن آن را برای مدافعان بسیار دشوار می کند.

تاکتیک های توزیع مشکوک: چگونه Crowdoor به سیستم ها نفوذ می کند

درهای پشتی مانند Crowdoor اغلب به دلیل تاکتیک های پیچیده و فریبنده توزیع موفق می شوند. در مورد کمپین Crowdoor ، مهاجمان از پلتفرم‌های CMS آسیب‌دیده به عنوان نقاط ورودی استفاده کردند. این پلتفرم‌های منبع باز ممکن است دارای آسیب‌پذیری‌های اصلاح نشده باشند که به مهاجمان اجازه می‌دهد فایل‌های خراب شده، از جمله پوسته‌های وب مانند China Chopper را آپلود کنند. از آنجا، درب پشتی را می توان بی سر و صدا بر روی سیستم مورد نظر و بدون ایجاد آلارم نصب کرد.

یکی دیگر از روش‌های رایج برای توزیع درب‌های پشتی مانند Crowdoor، کمپین‌های فیشینگ است. در این کمپین‌ها، مهاجمان ایمیل‌های به ظاهر قانونی حاوی لینک‌ها یا پیوست‌های جعلی ارسال می‌کنند. پس از باز شدن، بدافزار ممکن است بی‌صدا بر روی سیستم نصب شود و به مهاجم اجازه می‌دهد کنترل‌های امنیتی را دور بزند و دسترسی طولانی‌مدت به شبکه داشته باشد.

ترکیبی از بهره برداری وب و مهندسی اجتماعی بر تطبیق پذیری بازیگران تهدید مانند Tropic Trooper تأکید می کند که تاکتیک های خود را با ضعف های دفاعی هدف خود تطبیق می دهند.

دفاع در برابر درپشتی Crowdoor

پیشگیری از عفونت توسط درهای پشتی پیچیده مانند Crowdoor نیازمند یک رویکرد امنیتی چند لایه است. در اینجا اقدامات حیاتی سازمان ها می توانند انجام دهند:

  1. مدیریت وصله : به‌طور منظم همه نرم‌افزارها، از جمله پلتفرم‌های CMS منبع باز را به‌روزرسانی و وصله کنید تا آسیب‌پذیری‌های شناخته‌شده‌ای را که مهاجمان ممکن است از آنها سوءاستفاده کنند، ببندید.
  2. نظارت بر شبکه : نظارت قوی شبکه را برای شناسایی فعالیت‌های غیرمعمول، مانند دسترسی غیرمجاز یا آپلود فایل، که می‌تواند نشان دهنده تلاش برای نفوذ باشد، اجرا کنید.
  • تشخیص و پاسخ نقطه پایانی (EDR) : از راه‌حل‌های پیشرفته EDR برای شناسایی و پاسخ به رفتارهای مشکوکی که می‌تواند نشان‌دهنده نصب درب پشتی باشد، استفاده کنید.
  • آموزش کاربر : به کارمندان آموزش دهید که چگونه تلاش‌های فیشینگ را تشخیص دهند و از دانلود پیوست‌های مخرب یا کلیک کردن روی پیوندهای مشکوک خودداری کنند.
  • ممیزی های امنیتی منظم : ارزیابی های امنیتی مکرر را برای شناسایی آسیب پذیری های زیرساخت خود که مهاجمان ممکن است هدف قرار دهند، انجام دهید.

    • Crowdoor Backdoor نشان دهنده یک تهدید مضر و پایدار است، به ویژه زمانی که توسط بازیگران با تجربه تهدید مانند Tropic Trooper استفاده شود. توانایی آن در ارائه بدافزار اضافی، حفظ دسترسی مخفیانه، و استخراج داده های حساس بر اهمیت حفظ هوشیاری و شیوه های قوی امنیت سایبری تاکید می کند. با درک روش‌های نفوذ و به‌کارگیری اقدامات ایمنی پیشگیرانه، سازمان‌ها می‌توانند خطر قربانی شدن این تهدیدات سایبری و دیگر تهدیدات پیشرفته سایبری را کاهش دهند.

    پرطرفدار

    سرویس Altisik

    برنامه های بالقوه ناخواسته, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
    عبارت "Altisik Service" ممکن است در رایانه ویندوزی به عنوان یک فایل اجرایی ظاهر شود و نگرانی هایی را در مورد مشروعیت آن ایجاد کند. این فایل می تواند کاملاً بی خطر باشد و به عنوان بخشی از سیستم عامل...

    رادیو اینترنتی

    برنامه های بالقوه ناخواسته, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
    در دنیایی که به طور فزاینده ای به هم متصل می شوند، امنیت دستگاه های شما بیش از هر زمان دیگری حیاتی است. تهدیدات سایبری در حال تکامل هستند و برنامه‌های بالقوه ناخواسته (PUP) یک دسته نرم‌افزار...

    پربیننده ترین

    کلاهبرداری ایمیل "جوخه گیک".

    فیشینگ, هرزنامه
    37,897
    Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...

    پاپ‌آپ‌های «اگر ۱۸ ساله هستید روی اجازه ضربه بزنید».

    پیام های هشدار جعلی
    29,598
    پاپ‌آپ‌های «اگر ۱۸ ساله هستید، اجازه دهید ضربه بزنید» نوعی از تبلیغات پاپ‌آپ است که هنگام مرور اینترنت روی صفحه نمایش کاربر ظاهر می‌شود. این پاپ‌آپ‌ها می‌توانند برای کاربران کاملاً هشداردهنده باشند زیرا از آن‌ها می‌خواهند برای ادامه استفاده از وب‌سایتی که در حال حاضر در آن هستند، روی دکمه «مجاز» کلیک کنند. این پاپ آپ ها با برنامه های ناخواسته ای مانند ابزارهای تبلیغاتی مزاحم مرتبط هستند که می...
    بارگذاری...