Porte dérobée Crowdoor

Par GoldSparrow en Portes dérobées

Se traduisent par :

Les portes dérobées telles que Crowdoor représentent un danger critique pour les organisations et les individus dans le paysage en constante évolution des menaces de cybersécurité. Les portes dérobées permettent aux attaquants de contourner les mesures de sécurité et d'obtenir un accès non autorisé aux systèmes, souvent sans être détectés pendant de longues périodes. La porte dérobée Crowdoor , qui a récemment refait surface dans une campagne ciblant des entités gouvernementales au Moyen-Orient et en Malaisie, est particulièrement menaçante en raison de sa capacité à compromettre de manière persistante des cibles de grande valeur. Il est essentiel de comprendre ses capacités et ses méthodes de distribution pour protéger les réseaux sensibles contre des violations potentiellement dévastatrices.

Table des matières

Une cybermenace persistante : la porte dérobée Crowdoor

Observé pour la première fois en juin 2023, Crowdoor est une variante de la porte dérobée SparrowDoor précédemment documentée et identifiée en 2021. Crowdoor a évolué, fonctionnant non seulement comme une porte dérobée mais aussi comme un chargeur capable de déployer d'autres outils menaçants, notamment Cobalt Strike , un framework populaire utilisé pour les tâches de post-exploitation.

Le malware Crowdoor confère aux attaquants un degré élevé de contrôle sur les systèmes compromis, leur permettant d'exécuter des commandes à distance, d'établir des shells inversés et même de supprimer les preuves de leur présence en supprimant d'autres fichiers dangereux. Sa polyvalence, combinée à sa capacité à persister sur les hôtes infectés, fait de Crowdoor un outil dangereux dans l'arsenal des groupes de menaces persistantes avancées (APT).

Tropic Trooper : l'APT derrière la campagne Crowdoor

L’acteur de cybermenace Tropic Trooper , également connu sous les pseudonymes APT23, Earth Centaur, KeyBoy et Pirate Panda, cible depuis longtemps les secteurs gouvernementaux, de la santé et de la haute technologie, principalement en Asie de l’Est. Depuis 2011, ce collectif sinophone a lancé des attaques contre des entités à Taïwan, à Hong Kong et aux Philippines. Ses activités se sont toutefois récemment étendues pour inclure des cibles au Moyen-Orient et en Malaisie.

Tropic Trooper est connu pour utiliser des tactiques et des outils sophistiqués, notamment des malwares partagés comme le shell Web China Chopper , qui permet un accès à distance aux serveurs compromis. La récente campagne du groupe, détectée en 2024, visait à déployer Crowdoor sur des systèmes vulnérables. Bien que leurs efforts aient finalement été contrecarrés, la découverte de Crowdoor souligne la nature persistante et évolutive des menaces APT.

La chaîne d'attaque Crowdoor : une approche sophistiquée

La chaîne d'attaque de Crowdoor commence par l'exploitation des vulnérabilités des serveurs Web accessibles au public, souvent ceux qui exécutent des systèmes de gestion de contenu (CMS) open source comme Umbraco . En compromettant ces systèmes, les attaquants peuvent télécharger des outils menaçants tels que le shell Web China Chopper pour maintenir l'accès à distance. Une fois à l'intérieur du réseau, les attaquants déploient la porte dérobée Crowdoor , qui agit à la fois comme un chargeur et une menace persistante, permettant le téléchargement et l'exécution de programmes malveillants supplémentaires, tels que Cobalt Strike , pour atteindre des niveaux de compromission plus profonds.

En plus de faciliter l'exécution de commandes à distance et l'exfiltration de données, Crowdoor a la capacité de mettre fin à ses propres processus, d'effacer d'autres fichiers malveillants et d'échapper à la détection, ce qui rend extrêmement difficile l'identification et la neutralisation par les défenseurs.

Tactiques de distribution douteuses : comment Crowdoor s'infiltre dans les systèmes

Les portes dérobées comme Crowdoor réussissent souvent grâce à des tactiques de distribution sophistiquées et trompeuses. Dans le cas de la campagne Crowdoor , les attaquants ont utilisé des plateformes CMS compromises comme points d'entrée. Ces plateformes open source peuvent présenter des vulnérabilités non corrigées qui permettent aux attaquants de télécharger des fichiers corrompus, notamment des shells Web tels que China Chopper . À partir de là, la porte dérobée peut être installée discrètement sur le système cible sans déclencher d'alarme.

Une autre méthode courante de diffusion de portes dérobées comme Crowdoor consiste à mener des campagnes de phishing. Dans le cadre de ces campagnes, les attaquants envoient des e-mails apparemment légitimes contenant des liens ou des pièces jointes frauduleuses. Une fois ouverts, les programmes malveillants peuvent être installés silencieusement sur le système, ce qui permet à l'attaquant de contourner les contrôles de sécurité et d'obtenir un accès à long terme au réseau.

La combinaison de l’exploitation du Web et de l’ingénierie sociale souligne la polyvalence des acteurs de la menace comme Tropic Trooper , qui adaptent leurs tactiques aux faiblesses des défenses de leur cible.

Se défendre contre la porte dérobée Crowdoor

La prévention des infections par des portes dérobées sophistiquées comme Crowdoor nécessite une approche de sécurité à plusieurs niveaux. Voici quelques mesures essentielles que les organisations peuvent prendre :

Gestion des correctifs : mettez régulièrement à jour et corrigez tous les logiciels, y compris les plateformes CMS open source, pour fermer les vulnérabilités connues que les attaquants peuvent exploiter.
Surveillance du réseau : mettez en œuvre une surveillance réseau robuste pour détecter toute activité inhabituelle, telle qu'un accès non autorisé ou un téléchargement de fichiers, qui pourrait indiquer une tentative d'infiltration.

Détection et réponse aux points de terminaison (EDR) : utilisez des solutions EDR avancées pour identifier et répondre aux comportements suspects qui pourraient indiquer une installation de porte dérobée.

Éducation des utilisateurs : Formez les employés à reconnaître les tentatives d’hameçonnage et à éviter de télécharger des pièces jointes malveillantes ou de cliquer sur des liens suspects.

Audits de sécurité réguliers : effectuez des évaluations de sécurité fréquentes pour identifier les vulnérabilités de votre infrastructure que les attaquants peuvent cibler.

La porte dérobée Crowdoor représente une menace dangereuse et persistante, en particulier lorsqu'elle est utilisée par des acteurs expérimentés comme Tropic Trooper . Sa capacité à diffuser des programmes malveillants supplémentaires, à maintenir un accès furtif et à exfiltrer des données sensibles souligne l'importance de maintenir la vigilance et de solides pratiques de cybersécurité. En comprenant les méthodes d'infiltration et en employant des mesures de sécurité proactives, les organisations peuvent réduire le risque d'être victimes de cette menace et d'autres cybermenaces avancées.

SpyHunter pour Windows d'EnigmaSoft a obtenu la certification AV-TEST

Rechercher

Changer de région

Porte dérobée Crowdoor

Une cybermenace persistante : la porte dérobée Crowdoor

Tropic Trooper : l'APT derrière la campagne Crowdoor

La chaîne d'attaque Crowdoor : une approche sophistiquée

Tactiques de distribution douteuses : comment Crowdoor s'infiltre dans les systèmes

Se défendre contre la porte dérobée Crowdoor

Soumettre un Commentaire

Tendance

Service Altisik

Radio Internet

Logiciel malveillant TodoSwift pour Mac

Le plus regardé

Discord affiche un écran noir lors du partage d'écran

Qu'est-ce que Msedge.exe ?

Comment corriger l'erreur « Le pilote d'imprimante...