البرامج الضارة SlowStepper Backdoor

في عام 2023، ظهرت مجموعة التهديدات المتقدمة المستمرة (APT) التابعة للصين، PlushDaemon، على رادار الأمن السيبراني في أعقاب هجوم متطور على سلسلة توريد على مزود VPN في كوريا الجنوبية. تضمن هذا الهجوم استبدال برنامج التثبيت الشرعي بإصدار مخترق ونشر غرسة التوقيع الخاصة بهم، SlowStepper.

SlowStepper: باب خلفي متعدد الاستخدامات في ترسانة PlushDaemon

يعد SlowStepper، وهو برنامج خلفي غني بالميزات يضم مجموعة أدوات تضم أكثر من 30 مكونًا، من العناصر الأساسية لعمليات PlushDaemon. تم كتابة هذا البرنامج الخلفي بلغات C++ وPython وGo، وهو بمثابة الأداة الأساسية للمجموعة للتجسس والتطفل. كان SlowStepper قيد التطوير منذ عام 2019 على الأقل، وتطور من خلال تكرارات متعددة، وتم تجميع أحدث إصدار له في يونيو 2024.

القنوات المخترقة: مفتاح الوصول الأولي

تستغل استراتيجية الهجوم التي تنتهجها PlushDaemon بشكل متكرر نقاط الضعف في خوادم الويب وتختطف قنوات تحديث البرامج المشروعة. وقد حصلت المجموعة على الوصول الأولي من خلال تضمين كود غير آمن في برنامج التثبيت NSIS لبرنامج VPN الموزع عبر موقع الويب 'ipany.kr'. وقد قام برنامج التثبيت المخترق بتوصيل البرنامج المشروع والباب الخلفي SlowStepper في نفس الوقت.

نطاق الهدف وعلم الضحايا

من المحتمل أن يؤثر الهجوم على أي كيان يقوم بتنزيل برنامج التثبيت الملغوم. تُظهر الأدلة محاولات لتثبيت البرنامج المخترق في شبكات مرتبطة بشركة أشباه الموصلات الكورية الجنوبية ومطور برامج مجهول الهوية. تم تحديد الضحايا الأوائل في اليابان والصين في أواخر عام 2023، مما يعكس انتشار المجموعة على نطاق واسع.

سلسلة هجوم معقدة: نشر SlowStepper

يبدأ الهجوم بتشغيل برنامج التثبيت ('IPanyVPNsetup.exe')، الذي يقوم بإعداد الثبات وتشغيل برنامج التحميل ('AutoMsg.dll'). يبدأ برنامج التحميل هذا في تنفيذ التعليمات البرمجية، واستخراج ملفات DLL غير الآمنة وتحميلها جانبيًا باستخدام أدوات مشروعة مثل 'PerfWatson.exe'. تتضمن المرحلة الأخيرة نشر SlowStepper من ملف يحمل اسمًا غير ضار ('winlogin.gif').

نسخة مصغرة: SlowStepper Lite

تمكن الباحثون من تحديد النسخة الخفيفة من SlowStepper المستخدمة في هذه الحملة، والتي تتضمن ميزات أقل من النسخة الكاملة. وعلى الرغم من ذلك، فإنها تحتفظ بقدرات كبيرة، مما يتيح المراقبة الشاملة وجمع البيانات من خلال الأدوات المستضافة على GitCode، وهو مستودع أكواد صيني.

القيادة والتحكم: نهج متعدد المراحل

يستخدم SlowStepper بروتوكول Command-and-Control (C&C) متعدد المراحل وقوي. فهو يستعلم أولاً من خوادم DNS عن سجل TXT لجلب عناوين IP للاتصال. وإذا فشل هذا، فإنه يعود إلى طريقة ثانوية، باستخدام واجهة برمجة التطبيقات لحل مجال احتياطي.

التجسس على نطاق واسع: القدرات المعيارية لـ SlowStepper

تم تجهيز الباب الخلفي SlowStepper بمجموعة واسعة من الأدوات لجمع المعلومات، مما يمكنه من جمع البيانات من:

• متصفحات الويب الشائعة - Google Chrome، وMicrosoft Edge، وOpera، وBrave، وVivaldi، ومتصفح Chrome، ومتصفح UC، ومتصفح 360، وموزيلا فايرفوكس
• التقاط الصور وتسجيل الشاشات.
• جمع المستندات الحساسة وبيانات التطبيق - txt و.doc و.docx و.xls و.xlsx و.ppt و.pptx، بالإضافة إلى المعلومات من التطبيقات مثل LetsVPN وTencent QQ وWeChat وKingsoft WPS وe2eSoft VCam وKuGou وOray Sunlogin وToDesk.
• التقط رسائل الدردشة من منصة DingTalk.
• استرداد حزم Python التي ليست ضارة.
• يقوم FileScanner وFileScannerAllDisk بتحليل النظام لتحديد موقع الملفات.
• يقوم getOperaCookie باستخراج ملفات تعريف الارتباط من متصفح Opera.
• يحدد الموقع عنوان IP الخاص بالكمبيوتر وإحداثيات GPS.
• يقوم qpass بجمع المعلومات من متصفح Tencent QQ، والتي من الممكن أن يتم استبدالها بواسطة وحدة qqpass.
• يقوم كل من qqpass وWebpass بجمع كلمات المرور من متصفحات مختلفة، بما في ذلك Google Chrome وMozilla Firefox وTencent QQ Browser و360 Chrome وUC Browser.
• يقوم تطبيق ScreenRecord بالتقاط تسجيلات الشاشة.
• يقوم Telegram باستخراج المعلومات من Telegram.
• يسترد WeChat البيانات من منصة WeChat.
• يقوم WirelessKey بجمع تفاصيل الشبكة اللاسلكية وكلمات المرور المرتبطة بها.

تتضمن الميزات الفريدة القدرة على تشغيل غلاف مخصص لتنفيذ الحمولات عن بعد ووحدات Python لمهام محددة.

التركيز على التجسس وسرقة البيانات

يتيح التصميم المعياري للباب الخلفي جمع البيانات المستهدفة، مثل رسائل الدردشة من DingTalk وWeChat وكلمات مرور المتصفح وبيانات موقع النظام. تدعم الأدوات الإضافية وظيفة الوكيل العكسي وتنزيل الملفات، مما يعزز قدراته التجسسية.

التهديد المتزايد: تطور PlushDaemon

إن مجموعة الأدوات الشاملة التي تمتلكها PlushDaemon والتزامها بالتطوير المستمر يجعلانها كيانًا هائلاً. وتسلط عمليات المجموعة منذ عام 2019 الضوء على التركيز الواضح على إنشاء أدوات متطورة، مما يجعلها تشكل تهديدًا كبيرًا في مجال الأمن السيبراني.

الخاتمة: اليقظة ضد التهديدات الناشئة

تؤكد هجمات سلسلة التوريد التي شنتها PlushDaemon والقدرات المتقدمة التي تمتلكها على أهمية اليقظة في مجتمع الأمن السيبراني. ومن خلال استهداف قنوات توزيع البرامج الموثوقة، أثبتت المجموعة قدرتها على التسلل إلى الشبكات وتنفيذ حملات تجسس معقدة.