Rabattilbud med flere licenser
Trusseldatabase Bagdøre SlowStepper Backdoor Malware

SlowStepper Backdoor Malware

Med Mezo i Bagdøre, Advanced Persistent Threat (APT)
Oversæt til:
Dansk

I 2023 dukkede en tidligere udokumenteret Kina-tilpasset Advanced Persistent Threat (APT) gruppe, PlushDaemon, op på cybersikkerhedsradaren efter et sofistikeret forsyningskædeangreb på en sydkoreansk VPN-udbyder. Dette angreb involverede at erstatte det legitime installationsprogram med en kompromitteret version og implementere deres signaturimplantat, SlowStepper.

SlowStepper: En alsidig bagdør i PlushDaemon's Arsenal

Centralt for PlushDaemons operationer er SlowStepper, en funktionsrig bagdør med et værktøjssæt med over 30 komponenter. Denne bagdør er skrevet i C++, Python og Go og fungerer som gruppens primære instrument til spionage og indtrængen. SlowStepper har været under udvikling siden mindst 2019 og udviklet sig gennem flere iterationer, med den seneste version kompileret i juni 2024.

Kaprede kanaler: Nøglen til indledende adgang

PlushDaemons angrebsstrategi udnytter ofte sårbarheder i webservere og kaprer legitime softwareopdateringskanaler. Gruppen fik indledende adgang ved at indlejre usikker kode i NSIS-installationsprogrammet til en VPN-software distribueret via webstedet 'ipany.kr'. Det kompromitterede installationsprogram leverede samtidig den legitime software og SlowStepper-bagdøren.

Target Scope og Victimology

Angrebet påvirkede potentielt enhver enhed, der downloader det booby-fangede installationsprogram. Beviser viser forsøg på at installere den kompromitterede software i netværk forbundet med en sydkoreansk halvledervirksomhed og en uidentificeret softwareudvikler. De første ofre blev identificeret i Japan og Kina i slutningen af 2023, hvilket afspejler gruppens udbredte rækkevidde.

En kompleks angrebskæde: SlowStepper's Deployment

Angrebet begynder med at udføre installationsprogrammet ('IPanyVPNsetup.exe'), som opsætter persistens og starter en loader ('AutoMsg.dll'). Denne indlæser initierer udførelse af shellcode, udpakning og sideindlæsning af usikre DLL-filer ved hjælp af legitime værktøjer som 'PerfWatson.exe.' Den sidste fase involverer implementering af SlowStepper fra en uskadeligt navngivet fil ('winlogin.gif').

En nedskaleret version: SlowStepper Lite

Forskere identificerede 'Lite'-varianten af SlowStepper, der blev brugt i denne kampagne, som indeholder færre funktioner end den fulde version. På trods af dette bevarer den betydelige egenskaber, hvilket muliggør omfattende overvågning og dataindsamling gennem værktøjer hostet på GitCode, et kinesisk kodelager.

Kommando-og-kontrol: En flertrinstilgang

SlowStepper anvender en robust flertrins Command-and-Control (C&C) protokol. Den forespørger først DNS-servere efter en TXT-post for at hente IP-adresser til kommunikation. Hvis dette mislykkes, vender den tilbage til en sekundær metode ved at bruge en API til at løse et fallback-domæne.

Spionage i skala: SlowSteppers modulære kapaciteter

SlowStepper-bagdøren er udstyret med en bred vifte af værktøjer til indsamling af information, så den kan indsamle data fra:

  • Populære webbrowsere - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser og Mozilla Firefox
  • Tag billeder og optag skærme.
  • Indsaml følsomme dokumenter og applikationsdata - txt, .doc, .docx, .xls, .xlsx, .ppt og .pptx samt oplysninger fra apps som LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin og ToDesk.
  • Optag chatbeskeder fra DingTalk-platformen.
  • Hent Python-pakker, der ikke er skadelige.
  • FileScanner og FileScannerAllDisk analyserer systemet for at finde filer.
  • getOperaCookie udtrækker cookies fra Opera-browseren.
  • Placering identificerer computerens IP-adresse og GPS-koordinater.
  • qpass indsamler information fra Tencent QQ Browser, som eventuelt kan erstattes af qqpass-modulet.
  • qqpass og Webpass, samle adgangskoder fra forskellige browsere, herunder Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome og UC Browser.
  • ScreenRecord fanger skærmoptagelser.
  • Telegram udtrækker information fra Telegram.
  • WeChat henter data fra WeChat-platformen.
  • WirelessKey indsamler trådløse netværksdetaljer og tilhørende adgangskoder.

Unikke funktioner inkluderer muligheden for at lancere en brugerdefineret shell til at udføre fjernnyttelaster og Python-moduler til specifikke opgaver.

Fokus på spionage og datatyveri

Bagdørens modulære design muliggør målrettet dataindsamling, såsom chatbeskeder fra DingTalk og WeChat, browseradgangskoder og systemplaceringsdata. Yderligere værktøjer understøtter reverse proxy-funktionalitet og fildownloads, hvilket forbedrer dens spionagekapacitet.

En voksende trussel: PlushDaemon's Evolution

PlushDaemons omfattende værktøjssæt og dets engagement i løbende udvikling gør det til en formidabel enhed. Koncernens aktiviteter siden 2019 fremhæver et klart fokus på at skabe sofistikerede værktøjer, der placerer det som en væsentlig trussel i cybersikkerhedslandskabet.

Konklusion: årvågenhed mod nye trusler

PlushDaemons forsyningskædeangreb og avancerede funktioner understreger vigtigheden af årvågenhed i cybersikkerhedssamfundet. Ved at målrette mod pålidelige softwaredistributionskanaler har gruppen demonstreret sin evne til at infiltrere netværk og udføre komplekse spionagekampagner.

Trending

Mest sete

Indlæser...