Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Portes del darrere Programari maliciós SlowStepper Backdoor

Programari maliciós SlowStepper Backdoor

El Mezo el Portes del darrere, Amenaça persistent avançada (APT)
Traduir a:
Català

El 2023, un grup d'amenaces persistents avançades (APT) alineat amb la Xina, PlushDaemon, va sorgir al radar de ciberseguretat després d'un atac sofisticat a la cadena de subministrament a un proveïdor de VPN de Corea del Sud. Aquest atac va implicar substituir l'instal·lador legítim per una versió compromesa i desplegar el seu implant de signatura, SlowStepper.

SlowStepper: una porta posterior versàtil a l’arsenal de PlushDaemon

El centre de les operacions de PlushDaemon és SlowStepper, una porta posterior rica en funcions que compta amb un conjunt d'eines de més de 30 components. Escrita en C++, Python i Go, aquesta porta del darrere serveix com a instrument principal del grup per a l'espionatge i la intrusió. SlowStepper ha estat en desenvolupament almenys des del 2019, evolucionant a través de múltiples iteracions, amb la seva darrera versió compilada el juny de 2024.

Canals segrestats: la clau per a l’accés inicial

L'estratègia d'atac de PlushDaemon explota amb freqüència les vulnerabilitats dels servidors web i segresta canals d'actualització de programari legítims. El grup va obtenir l'accés inicial incrussant codi no segur a l'instal·lador NSIS d'un programari VPN distribuït a través del lloc web "ipany.kr". L'instal·lador compromès va lliurar simultàniament el programari legítim i la porta del darrere SlowStepper.

Àmbit objectiu i Victimologia

L'atac podria afectar qualsevol entitat que descarregués l'instal·lador amb trampes explosives. Les proves mostren intents d'instal·lar el programari compromès en xarxes associades amb una empresa de semiconductors de Corea del Sud i un desenvolupador de programari no identificat. Les víctimes inicials es van identificar al Japó i la Xina a finals de 2023, cosa que reflecteix l'abast ampli del grup.

Una cadena d’atac complexa: el desplegament de SlowStepper

L'atac comença amb l'execució de l'instal·lador ('IPanyVPNsetup.exe'), que configura la persistència i llança un carregador ('AutoMsg.dll'). Aquest carregador inicia l'execució del codi shell, l'extracció i la càrrega lateral de fitxers DLL no segurs mitjançant eines legítimes com "PerfWatson.exe". L'etapa final consisteix a desplegar SlowStepper des d'un fitxer amb un nom innocu ('winlogin.gif').

Una versió reduïda: SlowStepper Lite

Els investigadors van identificar la variant "Lite" de SlowStepper utilitzada en aquesta campanya, que inclou menys funcions que la versió completa. Malgrat això, conserva capacitats importants, que permeten una vigilància integral i la recollida de dades mitjançant eines allotjades a GitCode, un dipòsit de codi xinès.

Comandament i control: un enfocament en diverses etapes

SlowStepper utilitza un robust protocol de comandament i control (C&C) multietapa. Primer consulta als servidors DNS un registre TXT per obtenir adreces IP per a la comunicació. Si això falla, es torna a un mètode secundari, utilitzant una API per resoldre un domini alternatiu.

Espionatge a escala: capacitats modulars de SlowStepper

La porta posterior SlowStepper està equipada amb una àmplia gamma d'eines per recopilar informació, que li permeten recopilar dades de:

  • Navegadors web populars: Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, navegador Cốc Cốc, navegador UC, navegador 360 i Mozilla Firefox
  • Captura imatges i grava pantalles.
  • Recolliu documents confidencials i dades d'aplicacions: txt, .doc, .docx, .xls, .xlsx, .ppt i .pptx, així com informació d'aplicacions com LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin i ToDesk.
  • Captura missatges de xat des de la plataforma DingTalk.
  • Recupereu paquets de Python que no siguin perjudicials.
  • FileScanner i FileScannerAllDisk analitzen el sistema per localitzar fitxers.
  • getOperaCookie extreu galetes del navegador Opera.
  • La ubicació identifica l'adreça IP i les coordenades GPS de l'ordinador.
  • qpass recull informació del navegador Tencent QQ, que possiblement es pot substituir pel mòdul qqpass.
  • qqpass i Webpass, recullen contrasenyes de diversos navegadors, com ara Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome i UC Browser.
  • ScreenRecord captura enregistraments de pantalla.
  • Telegram extreu informació de Telegram.
  • WeChat recupera dades de la plataforma WeChat.
  • WirelessKey recopila els detalls de la xarxa sense fil i les contrasenyes associades.

Les característiques úniques inclouen la possibilitat de llançar un shell personalitzat per executar càrregues útils remotes i mòduls Python per a tasques específiques.

Un focus en l’espionatge i el robatori de dades

El disseny modular de la porta del darrere permet la recollida de dades dirigida, com ara missatges de xat de DingTalk i WeChat, contrasenyes del navegador i dades d'ubicació del sistema. Les eines addicionals admeten la funcionalitat de proxy invers i les descàrregues de fitxers, millorant les seves capacitats d'espionatge.

Una amenaça creixent: l’evolució de PlushDaemon

L'ampli conjunt d'eines de PlushDaemon i el seu compromís amb el desenvolupament continu el converteixen en una entitat formidable. Les operacions del grup des del 2019 destaquen un clar enfocament en la creació d'eines sofisticades, posicionant-lo com una amenaça important en el panorama de la ciberseguretat.

Conclusió: Vigilància davant les amenaces emergents

Els atacs a la cadena de subministrament i les capacitats avançades de PlushDaemon subratllen la importància de la vigilància a la comunitat de ciberseguretat. En orientar-se a canals de distribució de programari de confiança, el grup ha demostrat la seva capacitat per infiltrar-se a les xarxes i executar campanyes d'espionatge complexes.

Tendència

Més vist

Carregant...