鴉門後門
在不斷變化的網路安全威脅環境中, Crowdoor等後門對組織和個人構成了嚴重威脅。後門允許攻擊者繞過安全措施並獲得對系統的未經授權的訪問,並且通常在很長一段時間內未被發現。 Crowdoor 後門最近在針對中東和馬來西亞政府實體的一場活動中重新出現,由於其能夠持續危害高價值目標,因此特別具有威脅性。了解其功能和分發方法對於保護敏感網路免受潛在的破壞性破壞至關重要。
目錄
持續的網路威脅:Crowdoor 後門
Crowdoor於 2023 年 6 月首次被觀察到,是先前記錄的SparrowDoor後門的變體,該後門於2021 年被發現。包括Cobalt Strike (一種流行的框架)用於開發後任務。
Crowdoor惡意軟體使攻擊者能夠對受感染的系統進行高度控制,允許他們遠端執行命令、建立反向 shell,甚至透過刪除其他不安全檔案來刪除其存在的證據。它的多功能性,加上其在受感染主機上持續存在的能力,使Crowdoor成為高級持續威脅 (APT) 組織的危險工具。
Tropic Trooper:Crowdoor 活動背後的 APT
網路威脅組織Tropic Trooper (又稱 APT23、Earth Centaur、 KeyBoy和 Pirate Panda)長期以來一直針對政府、醫療保健和高科技產業(主要是東亞)。自2011年以來,這個中文團體已對台灣、香港和菲律賓的實體發動攻擊。儘管如此,其活動最近已擴大到包括中東和馬來西亞的目標。
Tropic Trooper因使用複雜的策略和工具而聞名,其中包括China Chopper Web shell 等共享惡意軟體,該惡意軟體提供對受感染伺服器的遠端存取。該組織最近在 2024 年檢測到的活動旨在將Crowdoor部署到易受攻擊的系統中。儘管他們的努力最終遭到挫敗,但Crowdoor的發現凸顯了 APT 威脅的持續性和不斷演變的性質。
Crowdoor 攻擊鏈:一種複雜的方法
提供Crowdoor的攻擊鏈始於利用可公開存取的 Web 伺服器中的漏洞,這些伺服器通常運行Umbraco等開源內容管理系統 (CMS)。透過破壞這些系統,攻擊者可以上傳China Chopper Web shell 等威脅工具來維持遠端存取。一旦進入網絡,攻擊者就會部署Crowdoor後門,該後門既充當加載程序又充當持續威脅,從而能夠下載和執行其他惡意軟體(例如Cobalt Strike ),以實現更深層次的危害。
除了促進遠端命令執行和資料外洩之外, Crowdoor還能夠終止自己的進程、刪除其他惡意軟體檔案並逃避偵測,從而使防禦者極難識別和消除。
可疑的發行策略:Crowdoor 如何滲透系統
像Crowdoor這樣的後門通常由於複雜和欺騙性的分發策略而成功。在Crowdoor活動中,攻擊者利用受損的 CMS 平台作為入口點。這些開源平台可能存在未修補的漏洞,允許攻擊者上傳損壞的文件,包括China Chopper等 Web shell。從那裡,後門可以悄悄地安裝在目標系統上,而不會發出警報。
傳播Crowdoor等後門的另一種常見方法涉及網路釣魚活動。在這些活動中,攻擊者發送看似合法的電子郵件,其中包含詐騙連結或附件。一旦打開,惡意軟體可能會悄悄地安裝在系統上,從而使攻擊者能夠繞過安全控制並獲得對網路的長期存取權限。
網路利用和社會工程的結合突顯了Tropic Trooper等威脅行為者的多功能性,他們根據目標防禦的弱點調整策略。
防禦 Crowdoor 後門
防止Crowdoor等複雜後門的感染需要採用多層安全方法。以下是組織可以採取的重要措施:
- 修補程式管理:定期更新和修補所有軟體,包括開源 CMS 平台,以關閉攻擊者可能利用的已知漏洞。
- 網路監控:實施強大的網路監控以偵測可能表示滲透嘗試的異常活動,例如未經授權的存取或檔案上傳。
Crowdoor 後門是一種有害且持續的威脅,尤其是當Tropic Trooper等經驗豐富的威脅行為者使用時。它傳播額外惡意軟體、保持秘密存取和洩露敏感資料的能力強調了保持警惕和強大的網路安全實踐的重要性。透過了解滲透方法並採用主動安全措施,組織可以降低成為此類威脅和其他高階網路威脅受害者的風險。
