Crowdoor Backdoor

Такі бекдори, як Crowdoor, представляють критичну небезпеку для організацій і окремих осіб у середовищі загроз кібербезпеці, що постійно змінюється. Бекдори дозволяють зловмисникам обійти заходи безпеки та отримати несанкціонований доступ до систем, часто залишаючись непоміченими протягом тривалого часу. Crowdoor Backdoor , який нещодавно знову з’явився в кампанії, націленій на державні установи на Близькому Сході та в Малайзії, є особливо загрозливим через його здатність постійно компрометувати важливі цілі. Розуміння його можливостей і методів розповсюдження має вирішальне значення для захисту чутливих мереж від потенційно руйнівних зломів.

Постійна кіберзагроза: бекдор Crowdoor

Crowdoor , який вперше був помічений у червні 2023 року, є варіантом раніше задокументованого бекдору SparrowDoor , ідентифікованого у 2021 році. Crowdoor еволюціонував, функціонуючи не лише як бекдор, але й як завантажувач, здатний розгортати інші загрозливі інструменти, зокрема Cobalt Strike , популярну структуру, що використовується для післяексплуатаційних завдань.

Зловмисне програмне забезпечення Crowdoor надає зловмисникам високий ступінь контролю над скомпрометованими системами, дозволяючи їм виконувати команди віддалено, установлювати зворотні оболонки та навіть видаляти докази своєї присутності, видаляючи інші небезпечні файли. Його універсальність у поєднанні зі здатністю зберігатися на заражених хостах робить Crowdoor небезпечним інструментом в арсеналі груп Advanced Persistent Threat (APT).

Tropic Trooper: кампанія APT Behind the Crowdoor

Актор з кіберзагроз Tropic Trooper — також відомий під такими псевдонімами, як APT23, Earth Centaur, KeyBoy і Pirate Panda — має довгу історію нападів на уряд, охорону здоров’я та високотехнологічні сектори, насамперед у Східній Азії. З 2011 року цей китайськомовний колектив розпочав атаки на організації на Тайвані, Гонконгу та Філіппінах. Тим не менш, нещодавно його діяльність розширилася й охопила цілі на Близькому Сході та в Малайзії.

Tropic Trooper відомий тим, що використовує складні тактики та інструменти, включно зі спільним зловмисним програмним забезпеченням, таким як веб-оболонка China Chopper , яка забезпечує віддалений доступ до скомпрометованих серверів. Недавня кампанія групи, виявлена в 2024 році, була розроблена для розгортання Crowdoor на вразливих системах. Хоча їхні зусилля врешті-решт були зірвані, виявлення Crowdoor підкреслює постійний характер загроз APT, що розвиваються.

Ланцюг атак Crowdoor: складний підхід

Ланцюжок атак, який забезпечує Crowdoor, починається з використання вразливостей у загальнодоступних веб-серверах, часто на тих, на яких працюють системи керування вмістом (CMS) з відкритим кодом, такі як Umbraco . Компрометуючи ці системи, зловмисники можуть завантажувати загрозливі інструменти, такі як веб-оболонка China Chopper, для підтримки віддаленого доступу. Потрапивши в мережу, зловмисники розгортають бекдор Crowdoor , який діє як завантажувач і постійна загроза, дозволяючи завантажувати та запускати додаткові шкідливі програми, такі як Cobalt Strike , для досягнення глибших рівнів компрометації.

Окрім полегшення віддаленого виконання команд і викрадання даних, Crowdoor має можливість завершувати власні процеси, видаляти інші файли зловмисного програмного забезпечення та уникати виявлення, що надзвичайно ускладнює ідентифікацію та нейтралізацію для захисників.

Сумнівна тактика розповсюдження: як Crowdoor проникає в системи

Такі бекдори, як Crowdoor, часто досягають успіху завдяки складній та оманливій тактиці розповсюдження. У випадку кампанії Crowdoor зловмисники використовували скомпрометовані платформи CMS як точки входу. Ці платформи з відкритим кодом можуть мати невиправлені вразливості, які дозволяють зловмисникам завантажувати пошкоджені файли, включно з веб-оболонками, такими як China Chopper . Звідти бекдор можна тихо встановити на цільовій системі без подання тривоги.

Інший поширений метод розповсюдження бекдорів, таких як Crowdoor, включає фішингові кампанії. У цих кампаніях зловмисники надсилають, здавалося б, законні електронні листи, що містять шахрайські посилання або вкладення. Після відкриття зловмисне програмне забезпечення може бути тихо встановлено в системі, дозволяючи зловмиснику обійти засоби безпеки та отримати довгостроковий доступ до мережі.

Поєднання веб-експлуатації та соціальної інженерії підкреслює універсальність загрозливих акторів, таких як Tropic Trooper , які адаптують свою тактику до слабких місць у захисті своєї цілі.

Захист від бекдору Crowdoor

Запобігання зараженню складними бекдорами, такими як Crowdoor, вимагає багаторівневого підходу до безпеки. Ось найважливіші заходи, які організації можуть вжити:

1. Керування виправленнями : регулярно оновлюйте та виправляйте все програмне забезпечення, включаючи платформи CMS з відкритим кодом, щоб закрити відомі вразливості, якими можуть скористатися зловмисники.
2. Моніторинг мережі : запровадьте надійний моніторинг мережі для виявлення незвичайних дій, таких як неавторизований доступ або завантаження файлів, які можуть свідчити про спробу проникнення.

Бекдор Crowdoor представляє шкідливу та постійну загрозу, особливо коли ними володіють досвідчені загрозливі особи, такі як Tropic Trooper . Його здатність доставляти додаткове зловмисне програмне забезпечення, підтримувати прихований доступ і вилучати конфіденційні дані підкреслює важливість збереження пильності та надійних методів кібербезпеки. Розуміючи методи проникнення та застосовуючи профілактичні заходи безпеки, організації можуть зменшити ризик стати жертвою цієї та інших передових кіберзагроз.