Κακόβουλο λογισμικό SlowStepper Backdoor
Το 2023, μια προηγουμένως μη τεκμηριωμένη ομάδα Advanced Persistent Threat (APT), η PlushDaemon, εμφανίστηκε στο ραντάρ κυβερνοασφάλειας μετά από μια εξελιγμένη επίθεση στην αλυσίδα εφοδιασμού σε έναν πάροχο VPN της Νότιας Κορέας. Αυτή η επίθεση περιελάμβανε την αντικατάσταση του νόμιμου προγράμματος εγκατάστασης με μια παραβιασμένη έκδοση και την ανάπτυξη του εμφυτεύματος υπογραφής του, SlowStepper.
Πίνακας περιεχομένων
SlowStepper: A Versatile Backdoor στο Arsenal του PlushDaemon
Κεντρικό στοιχείο στις λειτουργίες του PlushDaemon είναι το SlowStepper, μια κερκόπορτα πλούσια σε χαρακτηριστικά που διαθέτει ένα κιτ εργαλείων με περισσότερα από 30 εξαρτήματα. Γραμμένο σε C++, Python και Go, αυτό το backdoor χρησιμεύει ως το κύριο όργανο της ομάδας για κατασκοπεία και εισβολή. Το SlowStepper βρίσκεται σε ανάπτυξη τουλάχιστον από το 2019, εξελίσσεται μέσω πολλαπλών επαναλήψεων, με την τελευταία του έκδοση να έχει συγκεντρωθεί τον Ιούνιο του 2024.
Κανάλια πειρατείας: Το κλειδί για την αρχική πρόσβαση
Η στρατηγική επίθεσης του PlushDaemon εκμεταλλεύεται συχνά ευπάθειες σε διακομιστές Ιστού και παραβιάζει τα νόμιμα κανάλια ενημέρωσης λογισμικού. Η ομάδα απέκτησε αρχική πρόσβαση ενσωματώνοντας μη ασφαλή κώδικα στο πρόγραμμα εγκατάστασης NSIS ενός λογισμικού VPN που διανέμεται μέσω του ιστότοπου «ipany.kr». Το παραβιασμένο πρόγραμμα εγκατάστασης παρέδωσε ταυτόχρονα το νόμιμο λογισμικό και την κερκόπορτα SlowStepper.
Πεδίο στόχου και Θυματολογία
Η επίθεση δυνητικά επηρέασε οποιαδήποτε οντότητα που κατέβαζε το πρόγραμμα εγκατάστασης που έχει παγιδευτεί. Τα στοιχεία δείχνουν προσπάθειες εγκατάστασης του παραβιασμένου λογισμικού σε δίκτυα που σχετίζονται με μια εταιρεία ημιαγωγών της Νότιας Κορέας και έναν άγνωστο προγραμματιστή λογισμικού. Τα αρχικά θύματα εντοπίστηκαν στην Ιαπωνία και την Κίνα στα τέλη του 2023, αντανακλώντας την ευρεία εμβέλεια της ομάδας.
A Complex Attack Chain: SlowStepper's Deployment
Η επίθεση ξεκινά με την εκτέλεση του προγράμματος εγκατάστασης ('IPanyVPNsetup.exe'), το οποίο ρυθμίζει το persistence και εκκινεί ένα πρόγραμμα φόρτωσης ('AutoMsg.dll'). Αυτό το πρόγραμμα φόρτωσης εκκινεί την εκτέλεση του shellcode, την εξαγωγή και την παράπλευρη φόρτωση μη ασφαλών αρχείων DLL χρησιμοποιώντας νόμιμα εργαλεία όπως το "PerfWatson.exe". Το τελικό στάδιο περιλαμβάνει την ανάπτυξη του SlowStepper από ένα αρχείο με αβλαβές όνομα ('winlogin.gif').
Μια μειωμένη έκδοση: SlowStepper Lite
Οι ερευνητές εντόπισαν την παραλλαγή "Lite" του SlowStepper που χρησιμοποιείται σε αυτήν την καμπάνια, η οποία περιλαμβάνει λιγότερες δυνατότητες από την πλήρη έκδοση. Παρόλα αυτά, διατηρεί σημαντικές δυνατότητες, επιτρέποντας ολοκληρωμένη παρακολούθηση και συλλογή δεδομένων μέσω εργαλείων που φιλοξενούνται στο GitCode, ένα κινεζικό αποθετήριο κώδικα.
Command-and-Control: A Multistage Approach
Το SlowStepper χρησιμοποιεί ένα ισχυρό πρωτόκολλο Command-and-Control (C&C) πολλαπλών σταδίων. Αρχικά ζητά από τους διακομιστές DNS μια εγγραφή TXT για να ανακτήσει διευθύνσεις IP για επικοινωνία. Εάν αυτό αποτύχει, επιστρέφει σε μια δευτερεύουσα μέθοδο, χρησιμοποιώντας ένα API για την επίλυση ενός εναλλακτικού τομέα.
Κατασκοπεία σε κλίμακα: Αρθρωτές δυνατότητες του SlowStepper
Η κερκόπορτα SlowStepper είναι εξοπλισμένη με μια ευρεία γκάμα εργαλείων για τη συλλογή πληροφοριών, που της επιτρέπουν να συλλέγει δεδομένα από:
- Δημοφιλή προγράμματα περιήγησης Ιστού - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc πρόγραμμα περιήγησης, πρόγραμμα περιήγησης UC, πρόγραμμα περιήγησης 360 και Mozilla Firefox
- Λήψη εικόνων και εγγραφή οθονών.
- Συλλέξτε ευαίσθητα έγγραφα και δεδομένα εφαρμογών - txt, .doc, .docx, .xls, .xlsx, .ppt και .pptx, καθώς και πληροφορίες από εφαρμογές όπως LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin και ToDesk.
- Καταγράψτε μηνύματα συνομιλίας από την πλατφόρμα DingTalk.
- Ανακτήστε πακέτα Python που δεν είναι επιβλαβή.
- Το FileScanner και το FileScannerAllDisk αναλύουν το σύστημα για να εντοπίσουν αρχεία.
- Το getOperaCookie εξάγει cookies από το πρόγραμμα περιήγησης Opera.
- Η τοποθεσία προσδιορίζει τη διεύθυνση IP του υπολογιστή και τις συντεταγμένες GPS.
- Το qpass συλλέγει πληροφορίες από το πρόγραμμα περιήγησης Tencent QQ, το οποίο μπορεί ενδεχομένως να αντικατασταθεί από τη μονάδα qqpass.
- qqpass και Webpass, συλλέγουν κωδικούς πρόσβασης από διάφορα προγράμματα περιήγησης, συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome και UC Browser.
- Το ScreenRecord καταγράφει εγγραφές οθόνης.
- Το Telegram εξάγει πληροφορίες από το Telegram.
- Το WeChat ανακτά δεδομένα από την πλατφόρμα WeChat.
- Το WirelessKey συλλέγει λεπτομέρειες ασύρματου δικτύου και σχετικούς κωδικούς πρόσβασης.
Τα μοναδικά χαρακτηριστικά περιλαμβάνουν τη δυνατότητα εκκίνησης ενός προσαρμοσμένου κελύφους για την εκτέλεση απομακρυσμένων ωφέλιμων φορτίων και λειτουργικών μονάδων Python για συγκεκριμένες εργασίες.
Εστίαση στην κατασκοπεία και την κλοπή δεδομένων
Ο αρθρωτός σχεδιασμός του backdoor επιτρέπει τη στοχευμένη συλλογή δεδομένων, όπως μηνύματα συνομιλίας από το DingTalk και το WeChat, κωδικούς πρόσβασης προγράμματος περιήγησης και δεδομένα τοποθεσίας συστήματος. Πρόσθετα εργαλεία υποστηρίζουν τη λειτουργία αντίστροφου διακομιστή μεσολάβησης και τις λήψεις αρχείων, ενισχύοντας τις δυνατότητες κατασκοπείας του.
A Growing Threat: PlushDaemon's Evolution
Το εκτεταμένο σύνολο εργαλείων του PlushDaemon και η δέσμευσή του για συνεχή ανάπτυξη το καθιστούν μια τρομερή οντότητα. Οι δραστηριότητες του ομίλου από το 2019 υπογραμμίζουν μια σαφή εστίαση στη δημιουργία εξελιγμένων εργαλείων, τοποθετώντας τον ως σημαντική απειλή στο τοπίο της κυβερνοασφάλειας.
Συμπέρασμα: Επαγρύπνηση έναντι αναδυόμενων απειλών
Οι επιθέσεις στην αλυσίδα εφοδιασμού και οι προηγμένες δυνατότητες του PlushDaemon υπογραμμίζουν τη σημασία της επαγρύπνησης στην κοινότητα της κυβερνοασφάλειας. Στοχεύοντας αξιόπιστα κανάλια διανομής λογισμικού, η ομάδα έχει αποδείξει την ικανότητά της να διεισδύει σε δίκτυα και να εκτελεί περίπλοκες εκστρατείες κατασκοπείας.
