תוכנה זדונית לדלת אחורית של SlowStepper

בשנת 2023, קבוצת Advanced Persistent Threat (APT) שלא תועדה בעבר, PlushDaemon, צצה על מכ"ם אבטחת הסייבר בעקבות התקפת שרשרת אספקה מתוחכמת על ספק VPN דרום קוריאני. מתקפה זו כללה החלפת המתקין הלגיטימי בגרסה שנפרצה ופריסה של שתל החתימה שלהם, SlowStepper.

SlowStepper: דלת אחורית רב-תכליתית בארסנל של PlushDaemon

מרכזי בפעילות של PlushDaemon הוא SlowStepper, דלת אחורית עשירה בתכונות המתהדרת בערכת כלים של למעלה מ-30 רכיבים. נכתב ב-C++, Python ו-Go, הדלת האחורית הזו משמשת ככלי העיקרי של הקבוצה לריגול ופריצה. SlowStepper נמצא בפיתוח מאז 2019 לפחות, מתפתח באמצעות איטרציות מרובות, כאשר הגרסה האחרונה שלה הולקטה ביוני 2024.

ערוצים שנחטפו: המפתח לגישה ראשונית

אסטרטגיית ההתקפה של PlushDaemon מנצלת לעתים קרובות נקודות תורפה בשרתי אינטרנט וחוטפת ערוצי עדכון תוכנה לגיטימיים. הקבוצה השיגה גישה ראשונית על ידי הטמעת קוד לא בטוח במתקין NSIS של תוכנת VPN המופצת דרך האתר 'ipany.kr'. המתקין שנפגע סיפק בו זמנית את התוכנה הלגיטימית ואת הדלת האחורית של SlowStepper.

היקף יעד וקורבנות

ההתקפה עשויה להשפיע על כל ישות שהורידה את המתקין המלכוד. עדויות מראות ניסיונות להתקין את התוכנה שנפגעה ברשתות הקשורות לחברת מוליכים למחצה דרום קוריאנית ולמפתח תוכנה לא מזוהה. קורבנות ראשוניים זוהו ביפן ובסין בסוף 2023, מה שמשקף את טווח ההגעה הנרחב של הקבוצה.

שרשרת התקפה מורכבת: פריסת SlowStepper

המתקפה מתחילה בהפעלת תוכנית ההתקנה ('IPanyVPNsetup.exe'), המגדירה התמדה ומשגרת טוען ('AutoMsg.dll'). מטעין זה יוזם ביצוע קוד מעטפת, חילוץ וטעינת צד של קבצי DLL לא בטוחים באמצעות כלים לגיטימיים כמו 'PerfWatson.exe'. השלב האחרון כולל פריסת SlowStepper מקובץ בעל שם תמים ('winlogin.gif').

גרסה מוקטנת: SlowStepper Lite

חוקרים זיהו את גרסת ה-Lite של SlowStepper המשמשת בקמפיין זה, הכוללת פחות תכונות מהגרסה המלאה. למרות זאת, הוא שומר על יכולות משמעותיות, המאפשרות מעקב ואיסוף נתונים מקיפים באמצעות כלים המתארחים ב-GitCode, מאגר קוד סיני.

פיקוד ושליטה: גישה רב-שלבית

SlowStepper משתמש בפרוטוקול רב שלבי Command-and-Control (C&C) חזק. תחילה הוא שואל שרתי DNS עבור רשומת TXT כדי להביא כתובות IP לתקשורת. אם זה נכשל, הוא חוזר לשיטה משנית, תוך שימוש ב-API כדי לפתור תחום חלופי.

ריגול בקנה מידה: יכולות מודולריות של SlowStepper

הדלת האחורית של SlowStepper מצוידת במגוון רחב של כלים לאיסוף מידע, המאפשרים לו לאסוף נתונים מ:

• דפדפני אינטרנט פופולריים - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc, דפדפן UC, דפדפן 360 ו-Mozilla Firefox
• צלם תמונות והקלט מסכים.
• אסוף מסמכים ונתוני יישומים רגישים - txt, .doc, .docx, .xls, .xlsx, .ppt ו-.pptx, כמו גם מידע מאפליקציות כמו LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin, ו-ToDesk.
• לכיד הודעות צ'אט מפלטפורמת DingTalk.
• אחזר חבילות Python שאינן מזיקות.
• FileScanner ו-FileScannerAllDisk מנתחים את המערכת כדי לאתר קבצים.
• getOperaCookie מחלץ עוגיות מדפדפן Opera.
• המיקום מזהה את כתובת ה-IP של המחשב ואת קואורדינטות ה-GPS.
• qpass אוסף מידע מדפדפן Tencent QQ, שאולי ניתן להחליפו במודול qqpass.
• qqpass ו-Webpass, אוספים סיסמאות מדפדפנים שונים, כולל Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome ודפדפן UC.
• ScreenRecord לוכדת הקלטות מסך.
• טלגרם מחלץ מידע מטלגרם.
• WeChat מאחזר נתונים מפלטפורמת WeChat.
• WirelessKey אוסף פרטי רשת אלחוטית וסיסמאות משויכות.

תכונות ייחודיות כוללות את היכולת להשיק מעטפת מותאמת אישית לביצוע מטענים מרוחקים ומודולי Python עבור משימות ספציפיות.

התמקדות בריגול וגניבת נתונים

העיצוב המודולרי של הדלת האחורית מאפשר איסוף נתונים ממוקד, כגון הודעות צ'אט מ-DingTalk ו-WeChat, סיסמאות דפדפן ונתוני מיקום מערכת. כלים נוספים תומכים בפונקציונליות פרוקסי הפוכה ובהורדות קבצים, ומשפרים את יכולות הריגול שלו.

איום הולך וגובר: האבולוציה של PlushDaemon

ערכת הכלים הנרחבת של PlushDaemon והמחויבות שלה לפיתוח מתמשך הופכות אותה לישות אדירה. פעילות הקבוצה מאז 2019 מדגישה התמקדות ברורה ביצירת כלים מתוחכמים, וממצבת אותה כאיום משמעותי בנוף אבטחת הסייבר.

מסקנה: ערנות מפני איומים מתעוררים

התקפות שרשרת האספקה והיכולות המתקדמות של PlushDaemon מדגישות את החשיבות של ערנות בקהילת אבטחת הסייבר. על ידי מיקוד לערוצי הפצת תוכנה מהימנים, הקבוצה הוכיחה את יכולתה לחדור לרשתות ולבצע קמפיינים מורכבים של ריגול.