โครว์ดอร์ แบ็คดอร์
แบ็คดอร์ เช่น Crowdoor ถือเป็นอันตรายร้ายแรงต่อองค์กรและบุคคลต่างๆ ในภูมิทัศน์ของภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงอยู่ตลอดเวลา แบ็คดอร์ทำให้ผู้โจมตีสามารถหลบเลี่ยงมาตรการรักษาความปลอดภัยและเข้าถึงระบบโดยไม่ได้รับอนุญาต ซึ่งมักจะไม่ถูกตรวจพบเป็นเวลานาน แบ็คดอร์ Crowdoor ซึ่งเพิ่งปรากฏขึ้นอีกครั้งในแคมเปญที่กำหนดเป้าหมายหน่วยงานของรัฐในตะวันออกกลางและมาเลเซีย ถือเป็นภัยคุกคามอย่างยิ่งเนื่องจากความสามารถในการเจาะระบบเป้าหมายที่มีมูลค่าสูงได้อย่างต่อเนื่อง การทำความเข้าใจความสามารถและวิธีการกระจายของแบ็คดอร์เป็นสิ่งสำคัญในการปกป้องเครือข่ายที่ละเอียดอ่อนจากการละเมิดที่อาจก่อให้เกิดหายนะ
สารบัญ
ภัยคุกคามทางไซเบอร์ที่คงอยู่: แบ็กดอร์ของ Crowdoor
Crowdoor ซึ่งพบเห็นครั้งแรกในเดือนมิถุนายน 2023 เป็นตัวแปรของแบ็คดอร์ SparrowDoor ที่เคยบันทึกไว้ก่อนหน้านี้ซึ่งระบุในปี 2021 Crowdoor ได้รับการพัฒนาโดยไม่เพียงแต่ทำหน้าที่เป็นแบ็คดอร์เท่านั้น แต่ยังทำหน้าที่เป็นตัวโหลดที่สามารถปรับใช้เครื่องมือคุกคามอื่นๆ ได้ รวมถึง Cobalt Strike ซึ่งเป็นเฟรมเวิร์กยอดนิยมที่ใช้สำหรับงานหลังการใช้ประโยชน์
มัลแวร์ Crowdoor ช่วยให้ผู้โจมตีสามารถควบคุมระบบที่ถูกบุกรุกได้ในระดับสูง โดยสามารถสั่งการจากระยะไกล สร้างเชลล์ย้อนกลับ และแม้แต่ลบหลักฐานการมีอยู่ของระบบโดยการลบไฟล์ที่ไม่ปลอดภัยอื่นๆ ความคล่องตัวของมัลแวร์นี้เมื่อรวมกับความสามารถในการคงอยู่บนโฮสต์ที่ติดเชื้อ ทำให้ Crowdoor เป็นเครื่องมืออันตรายในกลุ่มภัยคุกคามขั้นสูงที่คงอยู่ตลอดเวลา (APT)
Tropic Trooper: ผู้นำเบื้องหลังแคมเปญ Crowdoor
Tropic Trooper ซึ่งเป็นผู้ก่ออาชญากรรมไซเบอร์ที่รู้จักกันในชื่อแฝงอื่นๆ เช่น APT23, Earth Centaur, KeyBoy และ Pirate Panda มีประวัติการโจมตีรัฐบาล สาธารณสุข และภาคส่วนเทคโนโลยีขั้นสูงมาอย่างยาวนาน โดยเฉพาะในเอเชียตะวันออก ตั้งแต่ปี 2011 กลุ่มที่พูดภาษาจีนนี้ได้เปิดฉากโจมตีหน่วยงานต่างๆ ในไต้หวัน ฮ่องกง และฟิลิปปินส์ อย่างไรก็ตาม กิจกรรมของกลุ่มได้ขยายวงกว้างขึ้นในช่วงไม่นานมานี้เพื่อรวมถึงเป้าหมายในตะวันออกกลางและมาเลเซียด้วย
Tropic Trooper ขึ้นชื่อในด้านการใช้กลวิธีและเครื่องมือที่ซับซ้อน รวมถึงมัลแวร์ที่ใช้ร่วมกัน เช่น China Chopper Web shell ซึ่งให้การเข้าถึงจากระยะไกลไปยังเซิร์ฟเวอร์ที่ถูกบุกรุก แคมเปญล่าสุดของกลุ่มซึ่งตรวจพบในปี 2024 ได้รับการออกแบบมาเพื่อติดตั้ง Crowdoor ในระบบที่มีช่องโหว่ แม้ว่าความพยายามของพวกเขาจะล้มเหลวในที่สุด แต่การค้นพบ Crowdoor เน้นย้ำถึงธรรมชาติที่ต่อเนื่องและเปลี่ยนแปลงไปของภัยคุกคาม APT
ห่วงโซ่การโจมตีของ Crowdoor: แนวทางที่ซับซ้อน
ห่วงโซ่การโจมตีที่ส่ง Crowdoor เริ่มต้นด้วยการใช้ประโยชน์จากช่องโหว่ในเซิร์ฟเวอร์เว็บที่สามารถเข้าถึงได้จากสาธารณะ ซึ่งมักจะเป็นเซิร์ฟเวอร์ที่รันระบบจัดการเนื้อหา (CMS) โอเพ่นซอร์ส เช่น Umbraco โดยการเจาะระบบเหล่านี้ ผู้โจมตีสามารถอัปโหลดเครื่องมือคุกคาม เช่น China Chopper Web shell เพื่อรักษาการเข้าถึงจากระยะไกล เมื่อเข้าไปในเครือข่ายแล้ว ผู้โจมตีจะใช้แบ็คดอร์ Crowdoor ซึ่งทำหน้าที่เป็นทั้งตัวโหลดและภัยคุกคามต่อเนื่อง ทำให้สามารถดาวน์โหลดและเรียกใช้มัลแวร์เพิ่มเติม เช่น Cobalt Strike เพื่อสร้างระดับการโจมตีที่ลึกขึ้น
นอกเหนือจากการอำนวยความสะดวกในการดำเนินการคำสั่งระยะไกลและการขโมยข้อมูลแล้ว Crowdoor ยังมีความสามารถในการยุติกระบวนการของตัวเอง ลบไฟล์มัลแวร์อื่นๆ และหลีกเลี่ยงการตรวจจับ ทำให้ผู้ป้องกันไม่สามารถระบุและกำจัดได้ยากมาก
กลยุทธ์การจัดจำหน่ายที่น่าสงสัย: Crowdoor แทรกซึมระบบได้อย่างไร
แบ็คดอร์อย่าง Crowdoor มักจะประสบความสำเร็จเนื่องจากกลวิธีการแจกจ่ายที่ซับซ้อนและหลอกลวง ในกรณีของแคมเปญ Crowdoor ผู้โจมตีใช้แพลตฟอร์ม CMS ที่ถูกบุกรุกเป็นจุดเข้า แพลตฟอร์มโอเพ่นซอร์สเหล่านี้อาจมีช่องโหว่ที่ไม่ได้รับการแก้ไขซึ่งทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เสียหายได้ รวมถึงเว็บเชลล์เช่น China Chopper จากตรงนั้น แบ็คดอร์สามารถติดตั้งบนระบบเป้าหมายอย่างเงียบๆ โดยไม่ส่งสัญญาณเตือน
อีกวิธีหนึ่งที่ใช้กันทั่วไปในการกระจายแบ็คดอร์ เช่น Crowdoor เกี่ยวข้องกับแคมเปญฟิชชิ่ง ในแคมเปญเหล่านี้ ผู้โจมตีจะส่งอีเมลที่ดูเหมือนถูกต้องตามกฎหมายซึ่งมีลิงก์หรือไฟล์แนบที่หลอกลวง เมื่อเปิดมัลแวร์แล้ว มัลแวร์อาจติดตั้งในระบบอย่างเงียบๆ ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการควบคุมความปลอดภัยและเข้าถึงเครือข่ายได้ในระยะยาว
การผสมผสานระหว่างการแสวงประโยชน์บนเว็บและวิศวกรรมทางสังคมเน้นย้ำถึงความสามารถในการปรับตัวของผู้ก่อภัยคุกคาม เช่น Tropic Trooper ที่ปรับใช้กลวิธีเพื่อแก้ไขจุดอ่อนในการป้องกันของเป้าหมาย
การป้องกันจาก Crowdoor Backdoor
การป้องกันการติดเชื้อจากแบ็กดอร์ที่ซับซ้อน เช่น Crowdoor ต้องใช้วิธีการรักษาความปลอดภัยหลายชั้น ต่อไปนี้คือมาตรการสำคัญที่องค์กรต่างๆ สามารถดำเนินการได้:
- การจัดการแพตช์ : อัปเดตและแพตช์ซอฟต์แวร์ทั้งหมดเป็นประจำ รวมถึงแพลตฟอร์ม CMS โอเพ่นซอร์ส เพื่อปิดช่องโหว่ที่ทราบซึ่งผู้โจมตีอาจใช้ประโยชน์
- การตรวจสอบเครือข่าย : ใช้การตรวจสอบเครือข่ายที่แข็งแกร่งเพื่อตรวจจับกิจกรรมที่ผิดปกติ เช่น การเข้าถึงที่ไม่ได้รับอนุญาตหรือการอัปโหลดไฟล์ ซึ่งอาจบ่งบอกถึงความพยายามแทรกซึม
Crowdoor Backdoor เป็นภัยคุกคามที่อันตรายและต่อเนื่อง โดยเฉพาะอย่างยิ่งเมื่อผู้ก่ออาชญากรรมทางไซเบอร์ที่มีประสบการณ์ เช่น Tropic Trooper ใช้งาน ความสามารถในการส่งมัลแวร์เพิ่มเติม รักษาการเข้าถึงอย่างลับๆ และขโมยข้อมูลที่ละเอียดอ่อนได้เน้นย้ำถึงความสำคัญของการรักษาความระมัดระวังและแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่เข้มงวด องค์กรสามารถลดความเสี่ยงในการตกเป็นเหยื่อของภัยคุกคามทางไซเบอร์ขั้นสูงนี้และภัยคุกคามทางไซเบอร์อื่นๆ ได้ด้วยการทำความเข้าใจวิธีการแทรกซึมและการใช้มาตรการความปลอดภัยเชิงรุก
