Crowdoor 后门
在网络安全威胁不断演变的形势下, Crowdoor之类的后门对组织和个人构成了重大威胁。后门允许攻击者绕过安全措施并获得对系统的未授权访问,并且通常长时间不被发现。Crowdoor后门最近在针对中东和马来西亚政府实体的活动中再次出现,由于能够持续攻击高价值目标,因此特别危险。了解其功能和分发方法对于保护敏感网络免受潜在的破坏性入侵至关重要。
目录
持续的网络威胁:Crowdoor 后门
Crowdoor于 2023 年 6 月首次被发现,是 2021 年发现的SparrowDoor后门的变种。Crowdoor已经进化,不仅可以用作后门,还可以用作加载器,能够部署其他威胁工具,包括Cobalt Strike ,这是一种用于后利用任务的流行框架。
Crowdoor恶意软件使攻击者能够高度控制受感染的系统,使他们能够远程执行命令、建立反向 shell,甚至通过删除其他不安全文件来消除其存在的证据。Crowdoor 的多功能性,加上其在受感染主机上持续存在的能力,使它成为高级持续性威胁 (APT) 组织武器库中的一种危险工具。
热带骑兵:Crowdoor 行动背后的 APT
网络威胁行为者Tropic Trooper (别名包括 APT23、Earth Centaur、 KeyBoy和 Pirate Panda)长期以来一直以政府、医疗保健和高科技行业为目标,主要针对东亚地区。自 2011 年以来,这个讲中文的团体对台湾、香港和菲律宾的实体发动了攻击。不过,其活动最近已扩大到包括中东和马来西亚的目标。
Tropic Trooper以使用复杂的策略和工具而闻名,包括共享恶意软件China Chopper Web shell,该恶意软件提供对受感染服务器的远程访问。该组织最近的活动于 2024 年被发现,旨在将Crowdoor部署到易受攻击的系统。虽然他们的努力最终被挫败,但Crowdoor的发现凸显了 APT 威胁的持久性和不断发展的性质。
Crowdoor 攻击链:一种复杂的方法
传播Crowdoor的攻击链始于利用可公开访问的 Web 服务器中的漏洞,这些服务器通常是运行Umbraco等开源内容管理系统 (CMS) 的服务器。通过入侵这些系统,攻击者可以上传威胁工具(如China Chopper Web shell)以维持远程访问。一旦进入网络,攻击者就会部署Crowdoor后门,它既充当加载器又充当持续威胁,从而能够下载和执行其他恶意软件(如Cobalt Strike ),以实现更深层次的入侵。
除了促进远程命令执行和数据泄露之外, Crowdoor还能够终止其自身的进程、擦除其他恶意软件文件并逃避检测,这使得防御者极难识别和消除它。
可疑的分发策略:Crowdoor 如何渗透系统
像Crowdoor这样的后门往往能凭借复杂且具有欺骗性的分发策略获得成功。在Crowdoor攻击活动中,攻击者利用被入侵的 CMS 平台作为切入点。这些开源平台可能存在未修补的漏洞,允许攻击者上传损坏的文件,包括China Chopper等 Web shell。从那里,后门可以悄悄地安装在目标系统上而不会引起警报。
另一种常见的传播后门(如Crowdoor)的方法是网络钓鱼活动。在这些活动中,攻击者发送看似合法的电子邮件,其中包含欺诈链接或附件。一旦打开,恶意软件可能会悄无声息地安装在系统上,使攻击者能够绕过安全控制并获得对网络的长期访问权限。
网络攻击和社会工程学的结合凸显了像Tropic Trooper这样的威胁行为者的多功能性,他们根据目标防御的弱点调整策略。
防御 Crowdoor 后门
防止Crowdoor等复杂后门程序感染需要采取多层安全措施。以下是组织可以采取的重要措施:
- 补丁管理:定期更新和修补所有软件,包括开源 CMS 平台,以修补攻击者可能利用的已知漏洞。
- 网络监控:实施强大的网络监控来检测异常活动,例如未经授权的访问或文件上传,这些活动可能表明存在渗透企图。
Crowdoor 后门代表着一种有害且持续的威胁,尤其是当它被像Tropic Trooper这样经验丰富的威胁者使用时。它能够传播更多恶意软件、保持隐秘访问并泄露敏感数据,这凸显了保持警惕和强大的网络安全实践的重要性。通过了解渗透方法并采取主动的安全措施,组织可以降低成为此类和其他高级网络威胁受害者的风险。
