Tropic Trooper که با نامهای KeyBoy و Pirate Panda نیز شناخته میشود یک گروه APT است که از سال 2011 فعال است و بخشهایی مانند دولت، بهداشت و درمان، حمل و نقل و صنایع فناوری پیشرفته در تایوان، فیلیپین و هنگکنگ را هدف قرار داده است. تحقیقات اخیر نشان میدهد که در سال 2024 آنها کمپینهای مداومی را علیه یک نهاد دولتی در خاورمیانه آغاز کردند که از ژوئن 2023 شروع شده است.
در ژوئن ۲۰۲۴ سیستم نظارتی هشدارهایی درباره نوع جدیدی از Webshell چینی به نام China Chopper صادر کرد که روی سروری با سیستم مدیریت محتوای Umbraco یافت شد. این Webshell بهعنوان ماژول .NET از Umbraco کامپایل شده بود که در جریان تحقیقات بیشتر، ابزارهای بدافزار پس از بهرهبرداری شناسایی شدند که با استفاده از یک فایل اجرایی قانونی و روش DLL Search-Order Hijacking بارگذاری شدند که هدف این حمله اجرای پیلود Crowdoor بود که با نام Backdoor SparrowDoor شناخته شده است.
در سرور آلودهای میزبان Umbraco CMS، ماژول مخربی به نام `umbraco_bind_aspx` یافت شد که توسط مهاجمان پیادهسازی شده و از طریق یک تابع بازگشتی به نام __Render__control1() یکرشته رمزگذاری شده Base64 را رمزگشایی و بهصورت پویا اجرا میکرد که این عملکرد مشابه Webshell معروف China Chopper بود که برای کنترل از راه دور سرورها استفاده میشود.
مهاجمان از آسیبپذیریهای مختلفی از جمله CVE-2021-34473 و CVE-2023-26360 سوءاستفاده کردند و نمونههای بیشتری از Web Shell ها را روی سرور مستقر نمودند و همچنین ابزارهایی مانند Fscan، Swor، Neo-reGeorg و ByPassGodzilla توسط آنها برای اسکن آسیبپذیریها، حرکت جانبی و دورزدن مکانیزمهای امنیتی استفاده شد.
این فعالیتها بخشی از یک کمپین سایبری بزرگتر بودند که باهدف حمله به سرورهای آسیبپذیر در خاورمیانه انجام شدند.
مهاجمان تلاش کردند تا یک DLL مخرب به نام `datast.dll` را از مسیر `c:\Users\Public\Music\data` بارگذاری کنند که پس از عدم موفقیت به بارگذاری، فایل دیگری به نام `VERSION.dll` در مسیر`C:\Windows\branding\data` را بارگذاری کردند. بررسیها نشان داد که از Web Shell های Umbraco برای این فایلهای مخرب استفاده شده است.
دو DLL مخرب `VERSION.dll` و `datast.dll` بهصورت مشابه از طریق DLL Search-Order Hijacking و با استفاده از یک فایل اجرایی قانونی آسیبپذیر بارگذاری شدند که فایل `datast.dll` تنها تابع `InitCore` را صادر میکند که با استفاده از DLL دیگری به نام `datastate.dll` Shell Code مرحله بعدی را با رمزنگاری RC4 رمزگشایی میکند.
در فوریه 2024 سه فایل مرتبط با Crowdoor شامل `datastate.dll`، `datast.dll` و یک فایل Payload رمزگذاریشده به نام `WinStore` در یک دنباله DLL search-order hijacking شناسایی شد که در این روش یک DLL آسیبپذیر، DLL مخرب دیگری را بارگذاری کرده و از آن برای رمزگشایی و اجرای Shell Code Crowdoor استفاده میکند.
این تکنیک شناسایی را دشوار میکند؛ زیرا عملکردهای مخرب بین دو DLL تقسیم شدهاند که بیشتر کارهای بیضرری مانند رمزگشایی RC4 را انجام میدهند.
Shell Code Crowdoor بهعنوان یک سرویس ویندوز به نام `WinStore` برای Persistence میماند که اگر ایجاد سرویس ناموفق باشد این کد از طریق رجیستری ویندوز به آدرس `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` برای اجرای مداوم تنظیم میشود، Shell Code به فرایند `colorcpl.exe` inject شده و با یک سرور C2 از طریق پیکربندی کد شده ارتباط برقرار میکند.
بر اساس تحلیل، شباهتهایی میان نمونههای جمعآوریشده و Tropic Trooper وجود دارد که نشان میدهد این گروه از تکنیک DLL Search–Order Hijacking از ژوئن 2022 استفاده کرده است که کد مخرب را به چندین مرحله تقسیم میکند که ابتدا کد مرحله بعدی رمزگشایی میشود و سپس بارگذار اصلی اجرا میشود.
روشهای Tropic Trooper کمک کرده و نشان داد که آنها پس از شناسایی Backdoor نمونههای جدیدتری را آپلود کردهاند تا از شناسایی بیشتر جلوگیری کنند.
هدف این حمله یک پلتفرم مدیریت محتوا بود که به انتشار مطالعاتی درباره حقوق بشر در خاورمیانه و درگیریهای اسرائیل و حماس میپرداخت که نشاندهنده تمرکز عمدی بر روی این محتوای خاص است.
راه هایی برای کاهش این خطر پذیری
- انجام پیکربندی درست امنیتی بهخصوص در سیستمهای Umbraco CMS
- Vlan بندی شبکه سازمان
- پشتیبانگیری منظم، بهروزرسانی نرمافزارها و بررسی منظم آسیبپذیریها
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- نظارت بر تغییرات غیرعادی فایلهای مهم
- نظارت بر درخواستهای http غیرعادی
- نظارت بر اجرای فرایندهای مشکوک روی وب سرور
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Resource Development | Initial Access | Execution | Persistence | Privilege Escalation | Defense Evasion | Credential Access | Discovery | Command and Control |
| Acquire Access | Content Injection | Cloud Administration Command | Account Manipulation | Abuse Elevation Control Mechanism | Abuse Elevation Control Mechanism | Adversary-in-the-Middle | Account Discovery | Application Layer Protocol |
| Acquire Infrastructure | Drive-by Compromise | Command and Scripting Interpreter | BITS Jobs | Access Token Manipulation | Access Token Manipulation | Brute Force | Application Window Discovery | Communication Through Removable Media |
| Compromise Accounts | Exploit Public-Facing Application | Container Administration Command | Boot or Logon Autostart Execution | Account Manipulation | BITS Jobs | Credentials from Password Stores | Browser Information Discovery | Content Injection |
| Compromise Infrastructure | External Remote Services | Deploy Container | Boot or Logon Initialization Scripts | Boot or Logon Autostart Execution | Build Image on Host | Exploitation for Credential Access | Cloud Infrastructure Discovery | Data Encoding |
| Develop Capabilities | Hardware Additions | Exploitation for Client Execution | Browser Extensions | Boot or Logon Initialization Scripts | Debugger Evasion | Forced Authentication | Cloud Service Dashboard | Data Obfuscation |
| Establish Accounts | Phishing | Inter-Process Communication | Compromise Host Software Binary | Create or Modify System Process | Deobfuscate/Decode Files or Information | Forge Web Credentials | Cloud Service Discovery | Dynamic Resolution |
| Obtain Capabilities | Replication Through Removable Media | Native API | Create Account | Domain or Tenant Policy Modification | Deploy Container | Input Capture | Cloud Storage Object Discovery | Encrypted Channel |
| Stage Capabilities | Supply Chain Compromise | Scheduled Task/Job | Create or Modify System Process | Escape to Host | Direct Volume Access | Modify Authentication Process | Container and Resource Discovery | Fallback Channels |
| Trusted Relationship | Serverless Execution | Event Triggered Execution | Event Triggered Execution | Domain or Tenant Policy Modification | Multi-Factor Authentication Interception | Debugger Evasion | Hide Infrastructure | |
| Valid Accounts | Shared Modules | External Remote Services | Exploitation for Privilege Escalation | Execution Guardrails | Multi-Factor Authentication Request Generation | Device Driver Discovery | Ingress Tool Transfer | |
| Software Deployment Tools | Hijack Execution Flow | Hijack Execution Flow | Exploitation for Defense Evasion | Network Sniffing | Domain Trust Discovery | Multi-Stage Channels | ||
| System Services | Implant Internal Image | Process Injection | File and Directory Permissions Modification | OS Credential Dumping | File and Directory Discovery | Non-Application Layer Protocol | ||
| User Execution | Modify Authentication Process | Scheduled Task/Job | Hide Artifacts | Steal Application Access Token | Group Policy Discovery | Non-Standard Port | ||
| Windows Management Instrumentation | Office Application Startup | Valid Accounts | Hijack Execution Flow | Steal or Forge Authentication Certificates | Log Enumeration | Protocol Tunneling | ||
| Power Settings | Impair Defenses | Steal or Forge Kerberos Tickets | Network Service Discovery | Proxy | ||||
| Pre-OS Boot | Impersonation | Steal Web Session Cookie | Network Share Discovery | Remote Access Software | ||||
| Scheduled Task/Job | Indicator Removal | Unsecured Credentials | Network Sniffing | Traffic Signaling | ||||
| Server Software Component | Indirect Command Execution | Password Policy Discovery | Web Service | |||||
| Traffic Signaling | Masquerading | Peripheral Device Discovery | ||||||
| Valid Accounts | Modify Authentication Process | Permission Groups Discovery | ||||||
| Modify Cloud Compute Infrastructure | Process Discovery | |||||||
| Modify Registry | Query Registry | |||||||
| Modify System Image | Remote System Discovery | |||||||
| Network Boundary Bridging | Software Discovery | |||||||
| Obfuscated Files or Information | System Information Discovery | |||||||
| Plist File Modification | System Location Discovery | |||||||
| Pre-OS Boot | System Network Configuration Discovery | |||||||
| Process Injection | System Network Connections Discovery | |||||||
| Reflective Code Loading | System Owner/User Discovery | |||||||
| Rogue Domain Controller | System Service Discovery | |||||||
| Rootkit | System Time Discovery | |||||||
| Subvert Trust Controls | Virtualization/Sandbox Evasion | |||||||
| System Binary Proxy Execution | ||||||||
| System Script Proxy Execution | ||||||||
| Template Injection | ||||||||
| Traffic Signaling | ||||||||
| Trusted Developer Utilities Proxy Execution | ||||||||
| Unused/Unsupported Cloud Regions | ||||||||
| Use Alternate Authentication Material | ||||||||
| Valid Accounts | ||||||||
| Virtualization/Sandbox Evasion | ||||||||
| Weaken Encryption | ||||||||
| XSL Script Processing |