Cửa sau Crowdoor
Các cửa hậu như Crowdoor đại diện cho mối nguy hiểm nghiêm trọng đối với các tổ chức và cá nhân trong bối cảnh các mối đe dọa an ninh mạng đang không ngừng thay đổi. Các cửa hậu cho phép kẻ tấn công bỏ qua các biện pháp bảo mật và có được quyền truy cập trái phép vào các hệ thống, thường không bị phát hiện trong thời gian dài. Cửa hậu Crowdoor , gần đây đã xuất hiện trở lại trong một chiến dịch nhắm vào các thực thể chính phủ ở Trung Đông và Malaysia, đặc biệt đáng sợ do khả năng xâm phạm các mục tiêu có giá trị cao một cách liên tục. Việc hiểu được khả năng và phương pháp phân phối của nó là rất quan trọng để bảo vệ các mạng nhạy cảm khỏi các vi phạm có khả năng tàn phá.
Mục lục
Mối đe dọa mạng dai dẳng: Cửa sau Crowdoor
Lần đầu tiên được phát hiện vào tháng 6 năm 2023, Crowdoor là một biến thể của cửa hậu SparrowDoor đã được ghi nhận trước đó và được xác định vào năm 2021. Crowdoor đã phát triển, hoạt động không chỉ như một cửa hậu mà còn là một trình tải có khả năng triển khai các công cụ đe dọa khác, bao gồm Cobalt Strike , một khuôn khổ phổ biến được sử dụng cho các nhiệm vụ khai thác sau.
Phần mềm độc hại Crowdoor cấp cho kẻ tấn công quyền kiểm soát cao đối với các hệ thống bị xâm phạm, cho phép chúng thực hiện lệnh từ xa, thiết lập các shell đảo ngược và thậm chí xóa bằng chứng về sự hiện diện của chúng bằng cách xóa các tệp không an toàn khác. Tính linh hoạt của nó, kết hợp với khả năng tồn tại trên các máy chủ bị nhiễm, khiến Crowdoor trở thành một công cụ nguy hiểm trong kho vũ khí của các nhóm Đe dọa dai dẳng nâng cao (APT).
Tropic Trooper: APT đằng sau chiến dịch Crowdoor
Nhóm tin tặc đe dọa mạng Tropic Trooper — còn được biết đến với các bí danh như APT23, Earth Centaur, KeyBoy và Pirate Panda—có lịch sử lâu dài trong việc nhắm mục tiêu vào các lĩnh vực chính phủ, chăm sóc sức khỏe và công nghệ cao, chủ yếu là Đông Á. Từ năm 2011, nhóm nói tiếng Trung này đã phát động các cuộc tấn công vào các thực thể ở Đài Loan, Hồng Kông và Philippines. Tuy nhiên, các hoạt động của nhóm này gần đây đã mở rộng sang các mục tiêu ở Trung Đông và Malaysia.
Tropic Trooper được biết đến với việc sử dụng các chiến thuật và công cụ tinh vi, bao gồm phần mềm độc hại được chia sẻ như China Chopper Web shell, cung cấp quyền truy cập từ xa vào các máy chủ bị xâm phạm. Chiến dịch gần đây của nhóm, được phát hiện vào năm 2024, được thiết kế để triển khai Crowdoor vào các hệ thống dễ bị tấn công. Mặc dù nỗ lực của họ cuối cùng đã bị ngăn chặn, nhưng việc phát hiện ra Crowdoor nhấn mạnh bản chất dai dẳng và đang phát triển của các mối đe dọa APT.
Chuỗi tấn công Crowdoor: Một cách tiếp cận tinh vi
Chuỗi tấn công cung cấp Crowdoor bắt đầu bằng việc khai thác các lỗ hổng trong các máy chủ Web có thể truy cập công khai, thường là các máy chủ chạy Hệ thống quản lý nội dung (CMS) nguồn mở như Umbraco . Bằng cách xâm phạm các hệ thống này, kẻ tấn công có thể tải lên các công cụ đe dọa như China Chopper Web shell để duy trì quyền truy cập từ xa. Khi đã vào bên trong mạng, kẻ tấn công triển khai cửa hậu Crowdoor , hoạt động như một trình tải và một mối đe dọa dai dẳng, cho phép tải xuống và thực thi phần mềm độc hại bổ sung, chẳng hạn như Cobalt Strike , để đạt được mức độ xâm phạm sâu hơn.
Ngoài khả năng tạo điều kiện thực hiện lệnh từ xa và đánh cắp dữ liệu, Crowdoor còn có khả năng chấm dứt các tiến trình của chính nó, xóa các tệp phần mềm độc hại khác và trốn tránh phát hiện, khiến cho bên bảo vệ rất khó có thể xác định và vô hiệu hóa.
Chiến thuật phân phối đáng ngờ: Crowdoor xâm nhập hệ thống như thế nào
Các cửa hậu như Crowdoor thường thành công do các chiến thuật phân phối tinh vi và lừa đảo. Trong trường hợp của chiến dịch Crowdoor , những kẻ tấn công đã tận dụng các nền tảng CMS bị xâm phạm làm điểm vào. Các nền tảng nguồn mở này có thể có các lỗ hổng chưa được vá cho phép kẻ tấn công tải lên các tệp bị hỏng, bao gồm các Web shell như China Chopper . Từ đó, cửa hậu có thể được cài đặt âm thầm trên hệ thống mục tiêu mà không gây báo động.
Một phương pháp phổ biến khác để phân phối backdoor như Crowdoor liên quan đến các chiến dịch lừa đảo. Trong các chiến dịch này, kẻ tấn công gửi các email có vẻ hợp pháp chứa các liên kết hoặc tệp đính kèm gian lận. Sau khi mở, phần mềm độc hại có thể được cài đặt âm thầm trên hệ thống, cho phép kẻ tấn công vượt qua các biện pháp kiểm soát bảo mật và có được quyền truy cập lâu dài vào mạng.
Sự kết hợp giữa khai thác Web và kỹ thuật xã hội nhấn mạnh tính linh hoạt của những kẻ tấn công như Tropic Trooper , những kẻ điều chỉnh chiến thuật của mình theo điểm yếu trong khả năng phòng thủ của mục tiêu.
Phòng thủ chống lại Crowdoor Backdoor
Ngăn ngừa nhiễm trùng từ các cửa hậu tinh vi như Crowdoor đòi hỏi một phương pháp bảo mật nhiều lớp. Sau đây là các biện pháp quan trọng mà các tổ chức có thể thực hiện:
- Quản lý bản vá : Thường xuyên cập nhật và vá tất cả phần mềm, bao gồm cả nền tảng CMS nguồn mở, để vá các lỗ hổng đã biết mà kẻ tấn công có thể khai thác.
- Giám sát mạng : Triển khai giám sát mạng mạnh mẽ để phát hiện hoạt động bất thường, chẳng hạn như truy cập trái phép hoặc tải tệp lên, có thể là dấu hiệu của nỗ lực xâm nhập.
Crowdoor Backdoor là mối đe dọa dai dẳng và có hại, đặc biệt là khi được sử dụng bởi những kẻ tấn công có kinh nghiệm như Tropic Trooper . Khả năng phân phối phần mềm độc hại bổ sung, duy trì quyền truy cập ẩn và đánh cắp dữ liệu nhạy cảm của nó nhấn mạnh tầm quan trọng của việc duy trì sự cảnh giác và các biện pháp an ninh mạng mạnh mẽ. Bằng cách hiểu các phương pháp xâm nhập và áp dụng các biện pháp an toàn chủ động, các tổ chức có thể giảm nguy cơ trở thành nạn nhân của mối đe dọa mạng tiên tiến này và các mối đe dọa mạng tiên tiến khác.
