قیمت چند مجوز تخفیف
پایگاه داده تهدید درهای پشتی بدافزار SlowStepper Backdoor

بدافزار SlowStepper Backdoor

تا Mezo در درهای پشتی, تهدید مداوم پیشرفته (APT)
ترجمه به:
فارسی

در سال 2023، یک گروه تهدید دائمی پیشرفته (APT) که قبلاً همسو با چین بود، به نام PlushDaemon، در رادار امنیت سایبری به دنبال یک حمله پیچیده زنجیره تامین به یک ارائه دهنده VPN کره جنوبی ظاهر شد. این حمله شامل جایگزینی نصب کننده قانونی با یک نسخه در معرض خطر و استقرار ایمپلنت امضای آن، SlowStepper بود.

SlowStepper: یک درب پشتی همه کاره در آرسنال PlushDaemon

مرکز عملیات PlushDaemon، SlowStepper است، یک درب پشتی غنی از ویژگی‌ها که دارای مجموعه ابزاری از بیش از 30 جزء است. این درب پشتی که به زبان های C++، Python و Go نوشته شده است، به عنوان ابزار اصلی گروه برای جاسوسی و نفوذ عمل می کند. SlowStepper حداقل از سال 2019 در حال توسعه بوده و از طریق تکرارهای متعدد تکامل یافته است و آخرین نسخه آن در ژوئن 2024 گردآوری شده است.

کانال های ربوده شده: کلید دسترسی اولیه

استراتژی حمله PlushDaemon اغلب از آسیب پذیری ها در سرورهای وب سوء استفاده می کند و کانال های به روز رسانی نرم افزار قانونی را ربوده است. این گروه با جاسازی کد ناامن در نصب کننده NSIS یک نرم افزار VPN که از طریق وب سایت 'ipany.kr' توزیع شده بود، دسترسی اولیه را به دست آورد. نصب کننده در معرض خطر به طور همزمان نرم افزار قانونی و درب پشتی SlowStepper را ارائه کرد.

محدوده هدف و قربانی شناسی

این حمله به طور بالقوه بر هر نهادی که نصب کننده به دام انفجاری را دانلود می کند تأثیر می گذارد. شواهد نشان می دهد که تلاش هایی برای نصب نرم افزار در معرض خطر در شبکه های مرتبط با یک شرکت نیمه هادی کره جنوبی و یک توسعه دهنده نرم افزار ناشناس. قربانیان اولیه در اواخر سال 2023 در ژاپن و چین شناسایی شدند که نشان دهنده گستردگی این گروه است.

زنجیره حمله پیچیده: استقرار SlowStepper

حمله با اجرای نصب کننده ('IPanyVPNsetup.exe') شروع می شود که Persistence را تنظیم می کند و یک لودر ('AutoMsg.dll') راه اندازی می کند. این لودر اجرای پوسته کد، استخراج و بارگذاری جانبی فایل های DLL ناامن را با استفاده از ابزارهای قانونی مانند "PerfWatson.exe" آغاز می کند. مرحله آخر شامل استقرار SlowStepper از یک فایل با نام بی ضرر ('winlogin.gif') است.

نسخه کوچک شده: SlowStepper Lite

محققان نوع "Lite" SlowStepper را که در این کمپین استفاده شده است، شناسایی کردند که دارای ویژگی های کمتری نسبت به نسخه کامل است. با وجود این، قابلیت های قابل توجهی را حفظ می کند و امکان نظارت جامع و جمع آوری داده ها را از طریق ابزارهای میزبانی شده در GitCode، یک مخزن کد چینی، فراهم می کند.

فرمان و کنترل: یک رویکرد چند مرحله ای

SlowStepper از یک پروتکل چندمرحله ای قوی فرماندهی و کنترل (C&C) استفاده می کند. ابتدا سرورهای DNS را برای یک رکورد TXT جستجو می کند تا آدرس های IP را برای ارتباط واکشی کند. اگر این کار انجام نشد، به روش ثانویه باز می گردد و از یک API برای حل یک دامنه بازگشتی استفاده می کند.

جاسوسی در مقیاس: قابلیت های مدولار SlowStepper

درپشتی SlowStepper مجهز به مجموعه وسیعی از ابزارها برای جمع آوری اطلاعات است که به آن امکان می دهد داده ها را از موارد زیر جمع آوری کند:

  • مرورگرهای وب محبوب - Google Chrome، Microsoft Edge، Opera، Brave، Vivaldi، مرورگر Cốc Cốc، مرورگر UC، مرورگر 360 و Mozilla Firefox
  • عکس بگیرید و صفحه نمایش را ضبط کنید.
  • اسناد حساس و داده های برنامه را جمع آوری کنید - txt، .doc، .docx، .xls، .xlsx، .ppt، و pptx.، و همچنین اطلاعات از برنامه هایی مانند LetsVPN، Tencent QQ، WeChat، Kingsoft WPS، e2eSoft VCam، KuGou، Oray Sunlogin و ToDesk.
  • پیام های چت را از پلتفرم DingTalk ضبط کنید.
  • بسته های پایتون را که مضر نیستند بازیابی کنید.
  • FileScanner و FileScannerAllDisk سیستم را برای مکان یابی فایل ها تجزیه و تحلیل می کنند.
  • getOperaCookie کوکی ها را از مرورگر Opera استخراج می کند.
  • موقعیت مکانی آدرس IP کامپیوتر و مختصات GPS را مشخص می کند.
  • qpass اطلاعاتی را از مرورگر Tencent QQ جمع آوری می کند که احتمالاً می تواند با ماژول qqpass جایگزین شود.
  • qqpass و Webpass، گذرواژه‌ها را از مرورگرهای مختلف، از جمله Google Chrome، Mozilla Firefox، Tencent QQ Browser، 360 Chrome و UC Browser جمع‌آوری می‌کنند.
  • ScreenRecord ضبط های صفحه نمایش را ضبط می کند.
  • تلگرام اطلاعات را از تلگرام استخراج می کند.
  • وی چت داده ها را از پلتفرم وی چت بازیابی می کند.
  • WirelessKey جزئیات شبکه بی سیم و رمزهای عبور مرتبط را جمع آوری می کند.

ویژگی های منحصر به فرد شامل توانایی راه اندازی یک پوسته سفارشی برای اجرای بارهای از راه دور و ماژول های پایتون برای وظایف خاص است.

تمرکز بر جاسوسی و سرقت اطلاعات

طراحی مدولار در پشتی امکان جمع آوری داده های هدفمند مانند پیام های چت از DingTalk و WeChat، رمزهای عبور مرورگر و داده های مکان سیستم را فراهم می کند. ابزارهای اضافی از عملکرد معکوس پروکسی و دانلود فایل پشتیبانی می‌کنند و قابلیت‌های جاسوسی آن را افزایش می‌دهند.

یک تهدید رو به رشد: تکامل پلاسش دیمون

مجموعه ابزار گسترده PlushDaemon و تعهد آن به توسعه مداوم، آن را به یک موجودیت قدرتمند تبدیل کرده است. فعالیت‌های این گروه از سال 2019، تمرکز واضحی بر ایجاد ابزارهای پیچیده دارد و آن را به عنوان یک تهدید مهم در چشم‌انداز امنیت سایبری قرار می‌دهد.

نتیجه گیری: هوشیاری در برابر تهدیدات نوظهور

حملات زنجیره تامین و قابلیت های پیشرفته PlushDaemon بر اهمیت هوشیاری در جامعه امنیت سایبری تاکید می کند. این گروه با هدف قرار دادن کانال های توزیع نرم افزار قابل اعتماد، توانایی خود را در نفوذ به شبکه ها و اجرای کمپین های پیچیده جاسوسی نشان داده است.

پرطرفدار

Protocolsafe.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
در عصری که تهدیدهای سایبری به طور مداوم در حال تکامل هستند، کاربران باید در حین گشت و گذار در وب هوشیار باشند. وب‌سایت‌های کلاهبردار اغلب از تاکتیک‌های فریبنده برای دستکاری بازدیدکنندگان برای اجازه...

پربیننده ترین

پاپ‌آپ‌های «اگر ۱۸ ساله هستید روی اجازه ضربه بزنید».

پیام های هشدار جعلی
25,432
پاپ‌آپ‌های «اگر ۱۸ ساله هستید، اجازه دهید ضربه بزنید» نوعی از تبلیغات پاپ‌آپ است که هنگام مرور اینترنت روی صفحه نمایش کاربر ظاهر می‌شود. این پاپ‌آپ‌ها می‌توانند برای کاربران کاملاً هشداردهنده باشند زیرا از آن‌ها می‌خواهند برای ادامه استفاده از وب‌سایتی که در حال حاضر در آن هستند، روی دکمه «مجاز» کلیک کنند. این پاپ آپ ها با برنامه های ناخواسته ای مانند ابزارهای تبلیغاتی مزاحم مرتبط هستند که می...
بارگذاری...