크라우도어 백도어

Crowdoor 와 같은 백도어는 끊임없이 진화하는 사이버 보안 위협 환경에서 조직과 개인에게 중대한 위험을 나타냅니다. 백도어를 사용하면 공격자가 보안 조치를 우회하고 시스템에 대한 무단 액세스를 얻을 수 있으며, 종종 장기간 감지되지 않습니다. 최근 중동과 말레이시아의 정부 기관을 표적으로 삼는 캠페인에서 다시 나타난 Crowdoor 백도어는 고가치 대상을 지속적으로 손상시킬 수 있는 능력으로 인해 특히 위협적입니다. 그 기능과 배포 방법을 이해하는 것은 잠재적으로 파괴적인 침해로부터 민감한 네트워크를 보호하는 데 중요합니다.

지속적인 사이버 위협: Crowdoor Backdoor

2023년 6월에 처음 발견된 Crowdoor는 2021년에 확인된 SparrowDoor 백도어의 변형입니다. Crowdoor는 백도어 역할뿐만 아니라 악용 후 작업에 사용되는 인기 있는 프레임워크인 Cobalt Strike 를 포함한 다른 위협적인 도구를 배포할 수 있는 로더 역할도 하면서 진화했습니다.

Crowdoor 맬웨어는 공격자에게 손상된 시스템에 대한 높은 수준의 제어권을 부여하여 원격으로 명령을 실행하고, 역방향 셸을 설정하고, 심지어 다른 안전하지 않은 파일을 삭제하여 존재의 증거를 제거할 수 있습니다. 감염된 호스트에서 지속되는 능력과 결합된 다재다능함은 Crowdoor를 Advanced Persistent Threat(APT) 그룹의 무기고에서 위험한 도구로 만듭니다.

Tropic Trooper: Crowdoor 캠페인의 배후에 있는 APT

사이버 위협 행위자 Tropic Trooper (APT23, Earth Centaur, KeyBoy , Pirate Panda 등의 별칭으로도 알려짐)는 정부, 의료, 첨단 기술 분야, 주로 동아시아를 표적으로 삼아 온 오랜 역사를 가지고 있습니다. 이 중국어 집단은 2011년부터 대만, 홍콩, 필리핀의 기관을 상대로 공격을 시작했습니다. 하지만 최근 중동과 말레이시아를 표적으로 삼아 활동이 확대되었습니다.

Tropic Trooper는 China Chopper Web shell과 같은 공유 맬웨어를 포함하여 정교한 전술과 도구를 사용하는 것으로 알려져 있으며, 이는 손상된 서버에 대한 원격 액세스를 제공합니다. 2024년에 탐지된 이 그룹의 최근 캠페인은 취약한 시스템에 Crowdoor를 배포하도록 설계되었습니다. 그들의 노력은 궁극적으로 좌절되었지만 Crowdoor 의 발견은 APT 위협의 지속적이고 진화하는 특성을 강조합니다.

Crowdoor 공격 체인: 정교한 접근 방식

Crowdoor를 제공하는 공격 체인은 공개적으로 액세스 가능한 웹 서버의 취약성을 악용하는 것으로 시작하는데, 이는 종종 Umbraco 와 같은 오픈 소스 콘텐츠 관리 시스템(CMS)을 실행하는 서버입니다. 이러한 시스템을 손상시키면 공격자는 China Chopper 웹 셸과 같은 위협적인 도구를 업로드하여 원격 액세스를 유지할 수 있습니다. 네트워크 내부에 들어가면 공격자는 Crowdoor 백도어를 배포하는데, 이는 로더와 지속적인 위협 역할을 하며 Cobalt Strike 와 같은 추가 맬웨어를 다운로드하고 실행하여 더 깊은 수준의 손상을 달성할 수 있습니다.

Crowdoor는 원격 명령 실행 및 데이터 유출을 용이하게 하는 것 외에도 자체 프로세스를 종료하고, 다른 맬웨어 파일을 지우고, 감지를 회피하는 기능을 갖추고 있어 방어자가 이를 식별하여 무력화하는 것을 극히 어렵게 만듭니다.

의심스러운 유통 전략: Crowdoor가 시스템에 침투하는 방법

Crowdoor 와 같은 백도어는 정교하고 기만적인 배포 전략으로 인해 종종 성공합니다. Crowdoor 캠페인의 경우 공격자는 손상된 CMS 플랫폼을 진입점으로 활용했습니다. 이러한 오픈소스 플랫폼에는 공격자가 China Chopper 와 같은 웹 셸을 포함하여 손상된 파일을 업로드할 수 있는 패치되지 않은 취약성이 있을 수 있습니다. 거기에서 백도어는 경보를 울리지 않고 대상 시스템에 조용히 설치될 수 있습니다.

Crowdoor 와 같은 백도어를 배포하는 또 다른 일반적인 방법은 피싱 캠페인을 포함합니다. 이러한 캠페인에서 공격자는 사기성 링크나 첨부 파일이 포함된 겉보기에 합법적인 이메일을 보냅니다. 일단 열리면 맬웨어가 시스템에 자동으로 설치되어 공격자가 보안 제어를 우회하고 네트워크에 장기적으로 액세스할 수 있습니다.

웹 악용과 사회 공학의 결합은 Tropic Trooper 와 같은 위협 행위자의 다재다능함을 보여줍니다. 이들은 타겟의 방어 약점에 맞춰 전략을 조정합니다.

Crowdoor Backdoor에 대한 방어

Crowdoor 와 같은 정교한 백도어에 의한 감염을 방지하려면 다층 보안 접근 방식이 필요합니다. 조직에서 취할 수 있는 중요한 조치는 다음과 같습니다.

1. 패치 관리 : 오픈소스 CMS 플랫폼을 포함한 모든 소프트웨어를 정기적으로 업데이트하고 패치하여 공격자가 악용할 수 있는 알려진 취약점을 닫습니다.
2. 네트워크 모니터링 : 침투 시도를 나타낼 수 있는 무단 액세스나 파일 업로드와 같은 비정상적인 활동을 감지하기 위해 강력한 네트워크 모니터링을 구현합니다.

Crowdoor Backdoor는 특히 Tropic Trooper 와 같은 숙련된 위협 행위자가 사용할 때 해롭고 지속적인 위협을 나타냅니다. 추가 맬웨어를 전달하고, 은밀한 액세스를 유지하고, 민감한 데이터를 빼낼 수 있는 기능은 경계와 강력한 사이버 보안 관행을 유지하는 것의 중요성을 강조합니다. 침투 방법을 이해하고 사전 예방적 안전 조치를 취함으로써 조직은 이 위협과 다른 고급 사이버 위협의 희생자가 될 위험을 줄일 수 있습니다.