Ponuda s popustom na više licenci
Baza prijetnji Stražnja vrata SlowStepper Backdoor Malware

SlowStepper Backdoor Malware

Do Mezo. Stražnja vrata, Napredna trajna prijetnja (APT). godine
Prevedi na:
Hrvatski

Godine 2023. prethodno nedokumentirana grupa naprednih trajnih prijetnji (APT), PlushDaemon, povezana s Kinom, pojavila se na radaru kibernetičke sigurnosti nakon sofisticiranog napada na lanac opskrbe na južnokorejskog pružatelja VPN-a. Ovaj napad uključivao je zamjenu legitimnog instalacijskog programa kompromitiranom verzijom i implementaciju njihovog prepoznatljivog implantata, SlowStepper.

SlowStepper: Svestrana stražnja vrata u PlushDaemonovom arsenalu

Centralno mjesto u operacijama PlushDaemona je SlowStepper, backdoor bogat značajkama koji se može pohvaliti skupom alata od preko 30 komponenti. Napisan u C++, Python i Go, ovaj backdoor služi kao primarni instrument grupe za špijunažu i upad. SlowStepper je u razvoju najmanje od 2019., razvijajući se kroz više iteracija, a njegova posljednja verzija sastavljena je u lipnju 2024.

Oteti kanali: ključ za početni pristup

Strategija napada PlushDaemona često iskorištava ranjivosti na web poslužiteljima i otima legitimne kanale za ažuriranje softvera. Grupa je dobila početni pristup ugradnjom nesigurnog koda u NSIS instalacijski program VPN softvera koji se distribuira putem web stranice 'ipany.kr'. Kompromitirani instalacijski program istovremeno je isporučio legitimni softver i SlowStepper backdoor.

Ciljani opseg i viktimologija

Napad je potencijalno utjecao na sve subjekte koji preuzimaju minirani instalacijski program. Dokazi pokazuju pokušaje instaliranja kompromitiranog softvera u mreže povezane s južnokorejskom tvrtkom poluvodiča i neidentificiranim programerom softvera. Prve žrtve identificirane su u Japanu i Kini krajem 2023., što odražava širok doseg skupine.

Složeni lanac napada: SlowStepperov razvoj

Napad počinje izvršavanjem instalacijskog programa ('IPanyVPNsetup.exe'), koji postavlja postojanost i pokreće učitavač ('AutoMsg.dll'). Ovaj učitavač pokreće izvršavanje shellcodea, ekstrahira i bočno učitava nesigurne DLL datoteke koristeći legitimne alate poput 'PerfWatson.exe'. Posljednja faza uključuje implementaciju SlowSteppera iz datoteke bezazlenog naziva ('winlogin.gif').

Smanjena verzija: SlowStepper Lite

Istraživači su identificirali 'Lite' varijantu SlowSteppera korištenu u ovoj kampanji, koja uključuje manje značajki od pune verzije. Unatoč tome, zadržava značajne mogućnosti, omogućujući sveobuhvatan nadzor i prikupljanje podataka putem alata koji se nalaze na GitCodeu, kineskom repozitoriju kodova.

Zapovijedanje i kontrola: višestupanjski pristup

SlowStepper koristi robustan višestupanjski protokol za naredbu i kontrolu (C&C). Prvo postavlja upit DNS poslužiteljima za TXT zapis kako bi dohvatio IP adrese za komunikaciju. Ako to ne uspije, vraća se na sekundarnu metodu, koristeći API za rješavanje rezervne domene.

Špijunaža na veliko: Modularne mogućnosti SlowSteppera

SlowStepper backdoor opremljen je širokim spektrom alata za prikupljanje informacija, što mu omogućuje prikupljanje podataka od:

  • Popularni web preglednici - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc preglednik, UC preglednik, 360 preglednik i Mozilla Firefox
  • Snimajte slike i snimajte zaslone.
  • Prikupljajte osjetljive dokumente i podatke o aplikacijama - txt, .doc, .docx, .xls, .xlsx, .ppt i .pptx, kao i podatke iz aplikacija kao što su LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin i ToDesk.
  • Snimite chat poruke s platforme DingTalk.
  • Dohvatite Python pakete koji nisu štetni.
  • FileScanner i FileScannerAllDisk analiziraju sustav kako bi locirali datoteke.
  • getOperaCookie izvlači kolačiće iz preglednika Opera.
  • Lokacija identificira IP adresu računala i GPS koordinate.
  • qpass prikuplja informacije iz Tencent QQ preglednika, koji se eventualno može zamijeniti modulom qqpass.
  • qqpass i Webpass, prikupljaju lozinke iz raznih preglednika, uključujući Google Chrome, Mozilla Firefox, Tencent QQ preglednik, 360 Chrome i UC preglednik.
  • ScreenRecord snima snimke zaslona.
  • Telegram izvlači informacije iz Telegrama.
  • WeChat dohvaća podatke s WeChat platforme.
  • WirelessKey prikuplja podatke o bežičnoj mreži i povezane lozinke.

Jedinstvene značajke uključuju mogućnost pokretanja prilagođene ljuske za izvršavanje udaljenih korisnih opterećenja i Python modula za određene zadatke.

Fokus na špijunažu i krađu podataka

Modularni dizajn backdoora omogućuje ciljano prikupljanje podataka, kao što su chat poruke s DingTalka i WeChata, lozinke preglednika i podaci o lokaciji sustava. Dodatni alati podržavaju funkciju obrnutog proxyja i preuzimanje datoteka, poboljšavajući njegove mogućnosti špijunaže.

Rastuća prijetnja: evolucija PlushDaemona

Opsežan set alata PlushDaemona i njegova predanost stalnom razvoju čine ga nevjerojatnim entitetom. Operacije grupe od 2019. naglašavaju jasan fokus na stvaranje sofisticiranih alata, pozicionirajući je kao značajnu prijetnju u krajoliku kibernetičke sigurnosti.

Zaključak: budnost protiv prijetnji u nastajanju

Napadi na lanac opskrbe PlushDaemona i napredne mogućnosti naglašavaju važnost opreza u zajednici kibernetičke sigurnosti. Ciljajući pouzdane kanale distribucije softvera, skupina je pokazala svoju sposobnost infiltracije u mreže i provođenja složenih špijunskih kampanja.

U trendu

Nagledanije

Skočni prozori 'Ako imate 18 godina dodirnite Dopusti'

Lažne poruke upozorenja
25,432
Skočni prozori 'If You are 18 Tap Allow' vrsta su skočnih oglasa koji se pojavljuju na zaslonu korisnika dok pregledava internet. Ovi skočni prozori mogu biti prilično alarmantni za korisnike jer ih potiču da kliknu na gumb "dopusti" kako bi nastavili koristiti web stranicu na kojoj se trenutno nalaze. Ovi skočni prozori povezani su s takvim neželjenim programima kao što je adware koji...
Učitavam...