SlowStepper Backdoor Malware

2023-ban egy korábban nem dokumentált, Kínához kötődő Advanced Persistent Threat (APT) csoport, a PlushDaemon felbukkant a kiberbiztonsági radaron, miután egy dél-koreai VPN-szolgáltatót ért kifinomult ellátási lánc támadást. Ez a támadás magában foglalta a törvényes telepítő lecserélését egy kompromittált verzióra, és az aláírási implantátum, a SlowStepper telepítését.

SlowStepper: Sokoldalú hátsó ajtó a PlushDaemon's Arsenalban

A PlushDaemon működésének központi eleme a SlowStepper, a funkciókban gazdag hátsó ajtó, amely több mint 30 komponensből álló eszközkészlettel büszkélkedhet. A C++, Python és Go nyelveken írt hátsó ajtó a csoport elsődleges eszköze a kémkedéshez és a behatoláshoz. A SlowStepper legalább 2019 óta fejlesztés alatt áll, és több iteráción keresztül fejlődik, a legújabb verziója pedig 2024 júniusában készült el.

Eltérített csatornák: a kulcs a kezdeti hozzáféréshez

A PlushDaemon támadási stratégiája gyakran használja ki a webszerverek sebezhetőségét, és eltéríti a legális szoftverfrissítési csatornákat. A csoport kezdeti hozzáférést szerzett az „ipany.kr” webhelyen keresztül terjesztett VPN-szoftver NSIS-telepítőjébe való nem biztonságos kód beágyazásával. A kompromittált telepítő egyszerre szállította a legális szoftvert és a SlowStepper hátsó ajtót.

Cél hatókör és viktimológia

A támadás potenciálisan minden entitást érintett, aki letölti a booby-trapped telepítőt. A bizonyítékok azt mutatják, hogy a feltört szoftvert egy dél-koreai félvezetőgyártó céghez és egy azonosítatlan szoftverfejlesztőhöz kapcsolódó hálózatokba próbálták telepíteni. A kezdeti áldozatokat Japánban és Kínában azonosították 2023 végén, ami a csoport széles körű elterjedését tükrözi.

Összetett támadási lánc: SlowStepper telepítése

A támadás a telepítő ('IPanyVPNsetup.exe') végrehajtásával kezdődik, amely beállítja a perzisztenciát, és elindít egy betöltőt ('AutoMsg.dll'). Ez a betöltő shellkód-végrehajtást kezdeményez, a nem biztonságos DLL-fájlok kibontását és oldalbetöltését olyan legitim eszközökkel, mint a „PerfWatson.exe”. Az utolsó szakasz a SlowStepper üzembe helyezése egy ártalmatlan nevű fájlból („winlogin.gif”).

Lekicsinyített verzió: SlowStepper Lite

A kutatók azonosították a SlowStepper „Lite” változatát, amelyet ebben a kampányban használtak, és amely kevesebb funkciót tartalmaz, mint a teljes verzió. Ennek ellenére megőrizte jelentős képességeit, lehetővé téve az átfogó felügyeletet és adatgyűjtést a GitCode-on, egy kínai kódtáron tárolt eszközökön keresztül.

Parancs és vezérlés: többlépcsős megközelítés

A SlowStepper robusztus többlépcsős Command-and-Control (C&C) protokollt alkalmaz. Először lekérdezi a DNS-kiszolgálókat egy TXT-rekord után, hogy lekérje az IP-címeket a kommunikációhoz. Ha ez nem sikerül, akkor visszatér egy másodlagos metódushoz, és API-t használ a tartalék tartomány feloldásához.

Nagyszabású kémkedés: a SlowStepper moduláris képességei

A SlowStepper hátsó ajtó az információk gyűjtésére szolgáló eszközök széles skálájával van felszerelve, amelyek lehetővé teszik, hogy adatokat gyűjtsön a következőkről:

• Népszerű webböngészők – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc böngésző, UC Browser, 360 Browser és Mozilla Firefox
• Rögzítsen képeket és rögzítsen képernyőket.
• Gyűjtsön bizalmas dokumentumokat és alkalmazásadatokat – txt, .doc, .docx, .xls, .xlsx, .ppt és .pptx, valamint információkat olyan alkalmazásokból, mint a LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin és ToDesk.
• Rögzítse a csevegési üzeneteket a DingTalk platformról.
• Olyan Python-csomagok lekérése, amelyek nem károsak.
• A FileScanner és a FileScannerAllDisk elemzi a rendszert, hogy megtalálja a fájlokat.
• A getOperaCookie kivonja a cookie-kat az Opera böngészőből.
• A hely azonosítja a számítógép IP-címét és GPS-koordinátáit.
• A qpass információkat gyűjt a Tencent QQ Browserből, amelyeket esetleg a qqpass modul helyettesíthet.
• A qqpass és a Webpass jelszavakat gyűjthet különböző böngészőkből, köztük a Google Chrome-ból, a Mozilla Firefoxból, a Tencent QQ Browserből, a 360 Chrome-ból és az UC Browserből.
• A ScreenRecord képernyőfelvételeket készít.
• A Telegram információkat nyer ki a Telegramból.
• A WeChat adatokat kér le a WeChat platformról.
• A WirelessKey összegyűjti a vezeték nélküli hálózat adatait és a kapcsolódó jelszavakat.

Az egyedi funkciók közé tartozik az egyéni shell indításának képessége a távoli rakományok végrehajtásához, valamint a Python-modulok specifikus feladatokhoz.

Fókuszban a kémkedés és az adatlopás

A hátsó ajtó moduláris felépítése lehetővé teszi a célzott adatgyűjtést, például a DingTalk és a WeChat chat-üzeneteit, a böngésző jelszavait és a rendszer helyadatait. További eszközök támogatják a fordított proxy funkciót és a fájlletöltést, javítva ezzel a kémkedési képességeket.

Egyre növekvő fenyegetés: PlushDaemon's Evolution

A PlushDaemon kiterjedt eszközkészlete és a folyamatos fejlesztés iránti elkötelezettsége félelmetes entitássá teszi. A csoport 2019 óta végzett tevékenysége rávilágít arra, hogy a kifinomult eszközök létrehozására összpontosít, és jelentős fenyegetésként pozicionálja a kiberbiztonsági környezetben.

Következtetés: éberség a felmerülő fenyegetésekkel szemben

A PlushDaemon ellátási lánc támadásai és fejlett képességei hangsúlyozzák az éberség fontosságát a kiberbiztonsági közösségben. A megbízható szoftverterjesztési csatornák megcélzásával a csoport bebizonyította, hogy képes behatolni a hálózatokba és összetett kémkampányokat hajt végre.