SlowStepper Backdoor Malware

2023 में, चीन से संबद्ध एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह, प्लशडेमन, दक्षिण कोरियाई VPN प्रदाता पर एक परिष्कृत आपूर्ति श्रृंखला हमले के बाद साइबर सुरक्षा रडार पर उभरा। इस हमले में वैध इंस्टॉलर को एक समझौता किए गए संस्करण से बदलना और उनके हस्ताक्षर प्रत्यारोपण, स्लोस्टेपर को तैनात करना शामिल था।

SlowStepper: प्लशडेमन के शस्त्रागार में एक बहुमुखी बैकडोर

प्लशडेमन के संचालन का केंद्र स्लोस्टेपर है, जो एक फीचर-समृद्ध बैकडोर है जिसमें 30 से अधिक घटकों का टूलकिट है। C++, पायथन और गो में लिखा गया यह बैकडोर जासूसी और घुसपैठ के लिए समूह के प्राथमिक उपकरण के रूप में कार्य करता है। स्लोस्टेपर कम से कम 2019 से विकास में है, कई पुनरावृत्तियों के माध्यम से विकसित हो रहा है, इसका नवीनतम संस्करण जून 2024 में संकलित किया गया है।

अपहृत चैनल: आरंभिक पहुंच की कुंजी

प्लशडेमन की आक्रमण रणनीति अक्सर वेब सर्वर में कमजोरियों का फायदा उठाती है और वैध सॉफ्टवेयर अपडेट चैनलों को हाईजैक करती है। समूह ने वेबसाइट 'ipany.kr' के माध्यम से वितरित VPN सॉफ़्टवेयर के NSIS इंस्टॉलर में असुरक्षित कोड एम्बेड करके प्रारंभिक पहुँच प्राप्त की। समझौता किए गए इंस्टॉलर ने एक साथ वैध सॉफ़्टवेयर और स्लोस्टेपर बैकडोर वितरित किया।

लक्ष्य क्षेत्र और पीड़ित विज्ञान

इस हमले से संभावित रूप से किसी भी संस्था को प्रभावित किया जा सकता है जो इस नकली इंस्टॉलर को डाउनलोड कर रही है। साक्ष्यों से पता चलता है कि दक्षिण कोरियाई सेमीकंडक्टर कंपनी और एक अज्ञात सॉफ़्टवेयर डेवलपर से जुड़े नेटवर्क में समझौता किए गए सॉफ़्टवेयर को स्थापित करने का प्रयास किया गया था। शुरुआती पीड़ितों की पहचान 2023 के अंत में जापान और चीन में की गई थी, जो समूह की व्यापक पहुंच को दर्शाता है।

एक जटिल हमला श्रृंखला: स्लोस्टेपर की तैनाती

हमला इंस्टॉलर ('IPanyVPNsetup.exe') को निष्पादित करने से शुरू होता है, जो दृढ़ता स्थापित करता है और एक लोडर ('AutoMsg.dll') लॉन्च करता है। यह लोडर शेलकोड निष्पादन शुरू करता है, 'PerfWatson.exe' जैसे वैध उपकरणों का उपयोग करके असुरक्षित DLL फ़ाइलों को निकालता और साइडलोड करता है। अंतिम चरण में एक हानिरहित नाम वाली फ़ाइल ('winlogin.gif') से SlowStepper को तैनात करना शामिल है।

एक छोटा संस्करण: स्लोस्टेपर लाइट

शोधकर्ताओं ने इस अभियान में इस्तेमाल किए गए स्लोस्टेपर के 'लाइट' संस्करण की पहचान की, जिसमें पूर्ण संस्करण की तुलना में कम सुविधाएँ शामिल हैं। इसके बावजूद, इसमें महत्वपूर्ण क्षमताएँ बनी हुई हैं, जो चीनी कोड रिपॉजिटरी GitCode पर होस्ट किए गए टूल के माध्यम से व्यापक निगरानी और डेटा संग्रह को सक्षम बनाती हैं।

कमांड-एंड-कंट्रोल: एक बहुस्तरीय दृष्टिकोण

स्लोस्टेपर एक मजबूत मल्टीस्टेज कमांड-एंड-कंट्रोल (C&C) प्रोटोकॉल का उपयोग करता है। यह संचार के लिए IP पते लाने के लिए पहले DNS सर्वर से TXT रिकॉर्ड के लिए क्वेरी करता है। यदि यह विफल हो जाता है, तो यह फ़ॉलबैक डोमेन को हल करने के लिए API का उपयोग करते हुए द्वितीयक विधि पर वापस लौटता है।

बड़े पैमाने पर जासूसी: स्लोस्टेपर की मॉड्यूलर क्षमताएं

स्लोस्टेपर बैकडोर सूचना एकत्र करने के लिए उपकरणों की एक विस्तृत श्रृंखला से सुसज्जित है, जिससे यह निम्नलिखित से डेटा एकत्र करने में सक्षम है:

• लोकप्रिय वेब ब्राउज़र - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc ब्राउज़र, UC ब्राउज़र, 360 ब्राउज़र और मोज़िला फ़ायरफ़ॉक्स
• चित्र कैप्चर करें और स्क्रीन रिकॉर्ड करें.
• संवेदनशील दस्तावेज़ और एप्लिकेशन डेटा - txt, .doc, .docx, .xls, .xlsx, .ppt, और .pptx, साथ ही LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin, और ToDesk जैसे ऐप्स से जानकारी एकत्र करें।
• डिंगटॉक प्लेटफॉर्म से चैट संदेश कैप्चर करें।
• उन पायथन पैकेजों को पुनः प्राप्त करें जो हानिकारक नहीं हैं।
• FileScanner और FileScannerAllDisk फ़ाइलों का पता लगाने के लिए सिस्टम का विश्लेषण करते हैं।
• getOperaCookie ओपेरा ब्राउज़र से कुकीज़ निकालता है।
• स्थान कंप्यूटर के आईपी पते और जीपीएस निर्देशांक की पहचान करता है।
• qpass Tencent QQ ब्राउज़र से जानकारी एकत्रित करता है, जिसे संभवतः qqpass मॉड्यूल द्वारा प्रतिस्थापित किया जा सकता है।
• qqpass और Webpass, विभिन्न ब्राउज़रों से पासवर्ड एकत्र करते हैं, जिनमें गूगल क्रोम, मोज़िला फ़ायरफ़ॉक्स, टेनसेंट QQ ब्राउज़र, 360 क्रोम और यूसी ब्राउज़र शामिल हैं।
• स्क्रीनरिकॉर्ड स्क्रीन रिकॉर्डिंग कैप्चर करता है.
• टेलीग्राम टेलीग्राम से जानकारी निकालता है।
• WeChat, WeChat प्लेटफॉर्म से डेटा प्राप्त करता है।
• वायरलेसकी वायरलेस नेटवर्क विवरण और संबंधित पासवर्ड एकत्र करता है।

अद्वितीय विशेषताओं में दूरस्थ पेलोड निष्पादित करने के लिए कस्टम शेल लॉन्च करने की क्षमता और विशिष्ट कार्यों के लिए पायथन मॉड्यूल शामिल हैं।

जासूसी और डेटा चोरी पर ध्यान केंद्रित

बैकडोर का मॉड्यूलर डिज़ाइन लक्षित डेटा संग्रह को सक्षम बनाता है, जैसे कि डिंगटॉक और वीचैट से चैट संदेश, ब्राउज़र पासवर्ड और सिस्टम स्थान डेटा। अतिरिक्त उपकरण रिवर्स प्रॉक्सी कार्यक्षमता और फ़ाइल डाउनलोड का समर्थन करते हैं, जिससे इसकी जासूसी क्षमताएँ बढ़ जाती हैं।

एक बढ़ता ख़तरा: प्लशडेमन का विकास

प्लशडेमन का व्यापक टूलसेट और निरंतर विकास के प्रति इसकी प्रतिबद्धता इसे एक दुर्जेय इकाई बनाती है। 2019 से समूह के संचालन ने परिष्कृत उपकरण बनाने पर स्पष्ट ध्यान केंद्रित किया है, जो इसे साइबर सुरक्षा परिदृश्य में एक महत्वपूर्ण खतरे के रूप में स्थापित करता है।

निष्कर्ष: उभरते खतरों के प्रति सतर्कता

प्लशडेमन के सप्लाई चेन हमले और उन्नत क्षमताएं साइबर सुरक्षा समुदाय में सतर्कता के महत्व को रेखांकित करती हैं। विश्वसनीय सॉफ्टवेयर वितरण चैनलों को लक्षित करके, समूह ने नेटवर्क में घुसपैठ करने और जटिल जासूसी अभियान चलाने की अपनी क्षमता का प्रदर्शन किया है।