Monen lisenssin alennustarjous
Uhatietokanta Takaovet SlowStepper Backdoor -haittaohjelma

SlowStepper Backdoor -haittaohjelma

Vuonna Mezo vuonna Takaovet, Advanced Persistent Threat (APT)
Käännä:
Suomi

Vuonna 2023 aiemmin dokumentoimaton Kiina-linjainen Advanced Persistent Threat (APT) -ryhmä PlushDaemon nousi kyberturvallisuustutkalle eteläkorealaiseen VPN-palveluntarjoajaan kohdistuneen kehittyneen toimitusketjuhyökkäyksen seurauksena. Tämä hyökkäys sisälsi laillisen asennusohjelman korvaamisen vaarantuneella versiolla ja SlowStepperin allekirjoituksen käyttöönoton.

SlowStepper: Monipuolinen takaovi PlushDaemonin arsenaalissa

Keskeistä PlushDaemonin toiminnassa on SlowStepper, monipuolinen takaovi, jossa on yli 30 komponenttia. Tämä C++-, Python- ja Go-kielillä kirjoitettu takaovi toimii ryhmän ensisijaisena välineenä vakoilussa ja tunkeutumisessa. SlowStepperiä on kehitetty ainakin vuodesta 2019 lähtien, ja se on kehittynyt useiden iteraatioiden kautta, ja sen uusin versio käännettiin kesäkuussa 2024.

Kaapatut kanavat: avain ensimmäiseen käyttöön

PlushDaemonin hyökkäysstrategia käyttää usein hyväkseen Web-palvelimien haavoittuvuuksia ja kaappaa laillisia ohjelmistopäivityskanavia. Ryhmä sai ensimmäisen käyttöoikeuden upottamalla vaarallisen koodin VPN-ohjelmiston NSIS-asennusohjelmaan, joka on jaettu verkkosivuston "ipany.kr" kautta. Vaarallinen asennusohjelma toimitti samanaikaisesti laillisen ohjelmiston ja SlowStepper-takaoven.

Kohdealue ja uhritutkimus

Hyökkäys saattoi vaikuttaa kaikkiin tahoihin, jotka lataavat booby-trapped -asennusohjelman. Todisteet osoittavat, että vaarantunut ohjelmisto on yritetty asentaa verkkoihin, jotka liittyvät eteläkorealaiseen puolijohdeyritykseen ja tunnistamattomaan ohjelmistokehittäjään. Ensimmäiset uhrit tunnistettiin Japanissa ja Kiinassa vuoden 2023 lopulla, mikä kuvastaa ryhmän laajaa ulottuvuutta.

Monimutkainen hyökkäysketju: SlowStepperin käyttöönotto

Hyökkäys alkaa suorittamalla asennusohjelma ('IPanyVPNsetup.exe'), joka määrittää pysyvyyden ja käynnistää latausohjelman ('AutoMsg.dll'). Tämä latausohjelma käynnistää shell-koodin suorittamisen, purkaa ja sivulataa vaarallisia DLL-tiedostoja käyttämällä laillisia työkaluja, kuten PerfWatson.exe. Viimeisessä vaiheessa SlowStepper otetaan käyttöön harmittomasti nimetystä tiedostosta ('winlogin.gif').

Skaalattu versio: SlowStepper Lite

Tutkijat tunnistivat tässä kampanjassa käytetyn SlowStepperin "Lite"-version, joka sisältää vähemmän ominaisuuksia kuin täysversio. Tästä huolimatta se säilyttää merkittävät ominaisuudet mahdollistaen kattavan valvonnan ja tiedonkeruun työkalujen avulla, jotka isännöidään GitCodessa, kiinalaisessa koodivarastossa.

Command-and-Control: Monivaiheinen lähestymistapa

SlowStepper käyttää vankkaa monivaiheista Command-and-Control (C&C) -protokollaa. Se pyytää ensin DNS-palvelimia TXT-tietueen hakemiseksi IP-osoitteiden hakemiseksi viestintää varten. Jos tämä epäonnistuu, se palaa toissijaiseen menetelmään käyttämällä API:ta varaverkkotunnuksen ratkaisemiseen.

Vakoilu mittakaavassa: SlowStepperin modulaariset ominaisuudet

SlowStepper-takaovi on varustettu laajalla valikoimalla tiedonkeruutyökaluja, joiden avulla se voi kerätä tietoja:

  • Suositut verkkoselaimet - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc -selain, UC-selain, 360-selain ja Mozilla Firefox
  • Ota kuvia ja tallenna näyttöjä.
  • Kerää arkaluonteisia asiakirjoja ja sovellustietoja - txt, .doc, .docx, .xls, .xlsx, .ppt ja .pptx sekä tietoja sovelluksista, kuten LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin ja ToDesk.
  • Kaappaa chat-viestejä DingTalk-alustalta.
  • Hae Python-paketit, jotka eivät ole haitallisia.
  • FileScanner ja FileScannerAllDisk analysoivat järjestelmää tiedostojen löytämiseksi.
  • getOperaCookie poimii evästeet Opera-selaimesta.
  • Sijainti tunnistaa tietokoneen IP-osoitteen ja GPS-koordinaatit.
  • qpass kerää tietoja Tencent QQ Browserista, joka voidaan mahdollisesti korvata qqpass-moduulilla.
  • qqpass ja Webpass, kerää salasanoja eri selaimista, kuten Google Chromesta, Mozilla Firefoxista, Tencent QQ Browserista, 360 Chromesta ja UC Browserista.
  • ScreenRecord tallentaa näytön tallenteita.
  • Telegram poimii tiedot Telegramista.
  • WeChat hakee tiedot WeChat-alustalta.
  • WirelessKey kerää langattoman verkon tiedot ja niihin liittyvät salasanat.

Ainutlaatuisia ominaisuuksia ovat kyky käynnistää mukautettu kuori etähyötykuormien suorittamiseen ja Python-moduuleja tiettyjä tehtäviä varten.

Painopiste vakoilusta ja tietovarkauksista

Takaoven modulaarinen rakenne mahdollistaa kohdistetun tiedonkeruun, kuten chat-viestit DingTalkista ja WeChatista, selaimen salasanat ja järjestelmän sijaintitiedot. Lisätyökalut tukevat käänteistä välityspalvelinta ja tiedostojen latausta, mikä parantaa sen vakoilukykyä.

Kasvava uhka: PlushDaemon’s Evolution

PlushDaemonin laaja työkalusarja ja sitoutuminen jatkuvaan kehitykseen tekevät siitä mahtavan kokonaisuuden. Konsernin toiminnassa vuodesta 2019 lähtien on korostunut selkeä keskittyminen kehittyneiden työkalujen luomiseen ja sen asemointi merkittäväksi uhkaksi kyberturvallisuusympäristössä.

Johtopäätös: Valppaus nousevia uhkia vastaan

PlushDaemonin toimitusketjun hyökkäykset ja edistyneet ominaisuudet korostavat valppauden merkitystä kyberturvallisuusyhteisössä. Kohdistamalla luotettavia ohjelmistojen jakelukanavia ryhmä on osoittanut kykynsä soluttautua verkkoihin ja toteuttaa monimutkaisia vakoilukampanjoita.

Trendaavat

Eniten katsottu

Ladataan...