Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Tagauksed SlowStepperi tagaukse pahavara

SlowStepperi tagaukse pahavara

Aastaks Mezo aastal Tagauksed, Täiustatud püsiv oht (APT)
Tõlgi:
Eesti

2023. aastal kerkis küberjulgeoleku radarisse varem dokumentideta Hiinaga ühinenud Advanced Persistent Threat (APT) rühmitus PlushDaemon pärast keerukat tarneahela rünnakut Lõuna-Korea VPN-i pakkuja vastu. See rünnak hõlmas seadusliku installija asendamist ohustatud versiooniga ja nende signatuuriimplantaadi SlowStepper juurutamist.

SlowStepper: mitmekülgne tagauks PlushDaemoni arsenalis

PlushDaemoni toimingute keskmes on SlowStepper, funktsioonirikas tagauks, mis sisaldab enam kui 30 komponendist koosnevat tööriistakomplekti. See C++, Python ja Go keeles kirjutatud tagauks on grupi peamine spionaaži ja sissetungimise instrument. SlowStepperit on arendatud vähemalt alates 2019. aastast, arenenud läbi mitme iteratsiooni ning selle uusim versioon koostati 2024. aasta juunis.

Kaaperdatud kanalid: esmase juurdepääsu võti

PlushDaemoni ründestrateegia kasutab sageli ära veebiserverite turvaauke ja kaaperdab seaduslikud tarkvaravärskenduskanalid. Rühm sai esialgse juurdepääsu, manustades veebisaidi ipany.kr kaudu levitatava VPN-tarkvara NSIS-i installiprogrammi ebaturvalise koodi. Ohustatud installiprogramm tarnis samaaegselt seadusliku tarkvara ja SlowStepperi tagaukse.

Sihtulatus ja viktimoloogia

Rünnak mõjutas potentsiaalselt mis tahes üksust, kes laadis alla lõksu sattunud installeri. Tõendid näitavad katseid installida ohustatud tarkvara võrkudesse, mis on seotud Lõuna-Korea pooljuhtide ettevõtte ja tundmatu tarkvaraarendajaga. Esialgsed ohvrid tuvastati Jaapanis ja Hiinas 2023. aasta lõpus, mis peegeldab rühmituse laialdast haaret.

Keeruline rünnakuahel: SlowStepperi juurutamine

Rünnak algab installeri ('IPanyVPNsetup.exe') käivitamisega, mis seadistab püsivuse ja käivitab laadija ('AutoMsg.dll'). See laadija käivitab shellkoodi täitmise, ebaturvaliste DLL-failide ekstraktimise ja külglaadimise, kasutades selleks seaduslikke tööriistu, nagu PerfWatson.exe. Viimane etapp hõlmab SlowStepperi juurutamist kahjutu nimega failist ('winlogin.gif').

Vähendatud versioon: SlowStepper Lite

Teadlased tuvastasid selles kampaanias kasutatud SlowStepperi lihtvariandi, mis sisaldab vähem funktsioone kui täisversioon. Sellest hoolimata säilitab see märkimisväärsed võimalused, võimaldades kõikehõlmavat järelevalvet ja andmete kogumist Hiina koodihoidlas GitCode'is hostitud tööriistade kaudu.

Käsklus- ja juhtimine: mitmeastmeline lähenemine

SlowStepper kasutab tugevat mitmeastmelist Command-and-Control (C&C) protokolli. Esmalt küsib see DNS-serveritelt TXT-kirjet, et hankida suhtluseks IP-aadressid. Kui see ebaõnnestub, naaseb see sekundaarsele meetodile, kasutades varudomeeni lahendamiseks API-d.

Laiaulatuslik spionaaž: SlowStepperi modulaarsed võimalused

SlowStepperi tagauks on teabe kogumiseks varustatud laia valiku tööriistadega, mis võimaldavad koguda andmeid:

  • Populaarsed veebibrauserid – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc brauser, UC Browser, 360 brauser ja Mozilla Firefox
  • Jäädvustage pilte ja salvestage ekraane.
  • Koguge tundlikke dokumente ja rakenduste andmeid – txt, .doc, .docx, .xls, .xlsx, .ppt ja .pptx, aga ka teavet sellistest rakendustest nagu LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin ja ToDesk.
  • Jäädvustage vestlussõnumeid DingTalki platvormilt.
  • Tooge Pythoni paketid, mis pole kahjulikud.
  • FileScanner ja FileScannerAllDisk analüüsivad süsteemi failide leidmiseks.
  • getOperaCookie ekstraheerib Opera brauserist küpsised.
  • Asukoht tuvastab arvuti IP-aadressi ja GPS-koordinaadid.
  • qpass kogub teavet Tencent QQ Browserist, mille saab asendada qqpassi mooduliga.
  • qqpass ja Webpass, koguge paroole erinevatest brauseritest, sealhulgas Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome ja UC Browser.
  • ScreenRecord jäädvustab ekraanisalvestusi.
  • Telegram eraldab teabe Telegrammist.
  • WeChat hangib andmed WeChati platvormilt.
  • WirelessKey kogub traadita võrgu üksikasju ja seotud paroole.

Ainulaadsed funktsioonid hõlmavad võimalust käivitada kohandatud kest kaugkoormuste täitmiseks ja Pythoni moodulid konkreetsete ülesannete jaoks.

Keskenduge spionaažile ja andmevargustele

Tagaukse modulaarne disain võimaldab sihipärast andmete kogumist, näiteks DingTalki ja WeChati vestlussõnumeid, brauseri paroole ja süsteemi asukohaandmeid. Täiendavad tööriistad toetavad pöördpuhverserveri funktsioone ja failide allalaadimist, suurendades selle spionaaživõimalusi.

Kasvav oht: PlushDaemoni evolutsioon

PlushDaemoni ulatuslik tööriistakomplekt ja pühendumus pidevale arendustegevusele muudavad selle suurepärase üksuse. Kontserni tegevus alates 2019. aastast toob esile selge keskendumise keerukate tööriistade loomisele, positsioneerides selle küberjulgeoleku maastikul olulise ohuna.

Järeldus: valvsus tekkivate ohtude vastu

PlushDaemoni tarneahela rünnakud ja täiustatud võimalused rõhutavad valvsuse tähtsust küberturvalisuse kogukonnas. Usaldusväärsete tarkvara levitamiskanalite sihtimisega on rühmitus näidanud oma võimet tungida võrkudesse ja viia läbi keerulisi spionaažikampaaniaid.

Trendikas

Enim vaadatud

Hüpikaknad „Kui olete 18-aastane, puudutage valikut...

Võlts hoiatussõnumid
25,432
Kui olete 18-aastane, puudutage luba, on hüpikaknad, mis kuvatakse Interneti sirvimise ajal kasutaja ekraanile. Need hüpikaknad võivad olla kasutajatele üsna murettekitavad, kuna nad kutsuvad neid üles klõpsama nuppu "Luba", et jätkata praeguse veebisaidi kasutamist. Need hüpikaknad on seotud selliste soovimatute programmidega nagu reklaamvara, mis võib kasutajatele olulisi probleeme tekitada....
Laadimine...