Оферта за отстъпка за множество лицензи
База данни за заплахи Задни врати SlowStepper Backdoor Malware

SlowStepper Backdoor Malware

До Mezo през Задни врати, Усъвършенствана постоянна заплаха (APT)г
Превод на:
български език

През 2023 г. група за усъвършенствана постоянна заплаха (APT), която преди това е недокументирана, PlushDaemon, се появи на радара за киберсигурност след сложна атака по веригата на доставки срещу южнокорейски VPN доставчик. Тази атака включваше подмяна на легитимния инсталатор с компрометирана версия и внедряване на техния характерен имплант, SlowStepper.

SlowStepper: Многофункционална задна врата в арсенала на PlushDaemon

Централна част от операциите на PlushDaemon е SlowStepper, богата на функции задна врата, която се гордее с набор от инструменти от над 30 компонента. Написана на C++, Python и Go, тази задна вратичка служи като основен инструмент на групата за шпионаж и проникване. SlowStepper се разработва най-малко от 2019 г., като се развива чрез множество итерации, като последната му версия е компилирана през юни 2024 г.

Отвлечени канали: Ключът към първоначалния достъп

Стратегията за атака на PlushDaemon често използва уязвимости в уеб сървърите и отвлича законни канали за актуализиране на софтуера. Групата получи първоначален достъп чрез вграждане на опасен код в инсталатора на NSIS на VPN софтуер, разпространяван чрез уебсайта „ipany.kr“. Компрометираният инсталатор едновременно достави легитимния софтуер и задната врата на SlowStepper.

Целеви обхват и виктимология

Атаката потенциално е засегнала всеки субект, изтеглящ минираната инсталационна програма. Доказателствата показват опити за инсталиране на компрометирания софтуер в мрежи, свързани с южнокорейска компания за полупроводници и неидентифициран разработчик на софтуер. Първоначалните жертви бяха идентифицирани в Япония и Китай в края на 2023 г., отразявайки широкото разпространение на групата.

Сложна верига от атаки: Разгръщане на SlowStepper

Атаката започва с изпълнението на инсталатора ('IPanyVPNsetup.exe'), който настройва постоянството и стартира зареждащото устройство ('AutoMsg.dll'). Този зареждащ инструмент инициира изпълнение на shellcode, извличане и странично зареждане на опасни DLL файлове с помощта на законни инструменти като „PerfWatson.exe“. Последният етап включва внедряване на SlowStepper от файл с безобидно име ('winlogin.gif').

Умалена версия: SlowStepper Lite

Изследователите идентифицираха „Lite“ варианта на SlowStepper, използван в тази кампания, който включва по-малко функции от пълната версия. Въпреки това, той запазва значителни възможности, позволявайки цялостно наблюдение и събиране на данни чрез инструменти, хоствани на GitCode, китайско хранилище на кодове.

Командване и контрол: многоетапен подход

SlowStepper използва стабилен многоетапен протокол за командване и управление (C&C). Първо отправя запитване към DNS сървъри за TXT запис, за да извлече IP адреси за комуникация. Ако това не успее, той се връща към вторичен метод, като използва API за разрешаване на резервен домейн.

Шпионаж в мащаб: Модулни възможности на SlowStepper

Бекдорът SlowStepper е оборудван с широк набор от инструменти за събиране на информация, което му позволява да събира данни от:

  • Популярни уеб браузъри - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc браузър, UC Browser, 360 Browser и Mozilla Firefox
  • Заснемайте изображения и записвайте екрани.
  • Събирайте чувствителни документи и данни за приложения - txt, .doc, .docx, .xls, .xlsx, .ppt и .pptx, както и информация от приложения като LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin и ToDesk.
  • Заснемане на чат съобщения от платформата DingTalk.
  • Извличане на Python пакети, които не са вредни.
  • FileScanner и FileScannerAllDisk анализират системата, за да открият файлове.
  • getOperaCookie извлича бисквитки от браузъра Opera.
  • Местоположението идентифицира IP адреса и GPS координатите на компютъра.
  • qpass събира информация от браузъра Tencent QQ, който евентуално може да бъде заменен от модула qqpass.
  • qqpass и Webpass събират пароли от различни браузъри, включително Google Chrome, Mozilla Firefox, Tencent QQ браузър, 360 Chrome и UC браузър.
  • ScreenRecord заснема записи на екрана.
  • Telegram извлича информация от Telegram.
  • WeChat извлича данни от платформата WeChat.
  • WirelessKey събира подробности за безжичната мрежа и свързаните с нея пароли.

Уникалните функции включват възможността за стартиране на персонализирана обвивка за изпълнение на отдалечени полезни натоварвания и Python модули за конкретни задачи.

Фокус върху шпионажа и кражбата на данни

Модулният дизайн на задната вратичка позволява целево събиране на данни, като чат съобщения от DingTalk и WeChat, пароли на браузъра и данни за местоположението на системата. Допълнителните инструменти поддържат функцията за обратен прокси и изтегляне на файлове, подобрявайки възможностите му за шпионаж.

Нарастваща заплаха: еволюцията на PlushDaemon

Обширният набор от инструменти на PlushDaemon и неговият ангажимент за непрекъснато развитие го правят страхотен обект. Операциите на групата от 2019 г. подчертават ясен фокус върху създаването на сложни инструменти, позиционирайки я като значителна заплаха в пейзажа на киберсигурността.

Заключение: Бдителност срещу възникващи заплахи

Атаките на PlushDaemon по веригата за доставки и разширените възможности подчертават важността на бдителността в общността за киберсигурност. Като се насочва към доверени канали за разпространение на софтуер, групата демонстрира способността си да прониква в мрежи и да изпълнява сложни шпионски кампании.

Тенденция

Protocolsafe.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
В епоха, в която киберзаплахите непрекъснато се развиват, потребителите трябва да останат бдителни, докато навигират в мрежата. Измамните уебсайтове често използват измамни тактики, за да...

Най-гледан

Зареждане...