Preventivo sconto multi-licenza
Database delle minacce Porte sul retro Malware backdoor SlowStepper

Malware backdoor SlowStepper

Entro Mezo nel Porte sul retro, Minaccia persistente avanzata (APT)
Traduci in:
Italiano

Nel 2023, un gruppo Advanced Persistent Threat (APT) allineato alla Cina e precedentemente non documentato, PlushDaemon, è emerso sul radar della sicurezza informatica in seguito a un sofisticato attacco alla supply chain su un provider VPN sudcoreano. Questo attacco ha comportato la sostituzione dell'installer legittimo con una versione compromessa e l'implementazione del loro impianto di firma, SlowStepper.

SlowStepper: una backdoor versatile nell’arsenale di PlushDaemon

Al centro delle operazioni di PlushDaemon c'è SlowStepper, una backdoor ricca di funzionalità che vanta un toolkit di oltre 30 componenti. Scritta in C++, Python e Go, questa backdoor funge da strumento principale del gruppo per lo spionaggio e l'intrusione. SlowStepper è in fase di sviluppo almeno dal 2019, evolvendosi attraverso più iterazioni, con la sua ultima versione compilata a giugno 2024.

Canali dirottati: la chiave per l’accesso iniziale

La strategia di attacco di PlushDaemon sfrutta frequentemente le vulnerabilità nei server Web e dirotta i canali di aggiornamento software legittimi. Il gruppo ha ottenuto l'accesso iniziale incorporando codice non sicuro nell'installer NSIS di un software VPN distribuito tramite il sito Web 'ipany.kr'. L'installer compromesso ha distribuito simultaneamente il software legittimo e la backdoor SlowStepper.

Ambito di applicazione e vittimologia

L'attacco ha potenzialmente colpito qualsiasi entità che scaricasse l'installer trappola. Le prove mostrano tentativi di installare il software compromesso in reti associate a un'azienda di semiconduttori sudcoreana e a uno sviluppatore di software non identificato. Le prime vittime sono state identificate in Giappone e Cina alla fine del 2023, a dimostrazione della portata diffusa del gruppo.

Una catena di attacco complessa: distribuzione di SlowStepper

L'attacco inizia con l'esecuzione dell'installer ('IPanyVPNsetup.exe'), che imposta la persistenza e avvia un loader ('AutoMsg.dll'). Questo loader avvia l'esecuzione di shellcode, estraendo e caricando lateralmente file DLL non sicuri utilizzando strumenti legittimi come 'PerfWatson.exe'. La fase finale prevede l'implementazione di SlowStepper da un file dal nome innocuo ('winlogin.gif').

Una versione ridotta: SlowStepper Lite

I ricercatori hanno identificato la variante 'Lite' di SlowStepper utilizzata in questa campagna, che include meno funzionalità rispetto alla versione completa. Nonostante ciò, mantiene capacità significative, consentendo una sorveglianza completa e una raccolta dati tramite strumenti ospitati su GitCode, un repository di codice cinese.

Comando e controllo: un approccio multifase

SlowStepper impiega un robusto protocollo Command-and-Control (C&C) multistadio. Innanzitutto interroga i server DNS per un record TXT per recuperare gli indirizzi IP per la comunicazione. Se questo fallisce, torna a un metodo secondario, usando un'API per risolvere un dominio di fallback.

Spionaggio su larga scala: capacità modulari di SlowStepper

La backdoor SlowStepper è dotata di un'ampia gamma di strumenti per la raccolta di informazioni, consentendo di raccogliere dati da:

  • Browser Web più diffusi: Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser e Mozilla Firefox
  • Cattura immagini e registra schermate.
  • Raccogli documenti sensibili e dati delle applicazioni: txt, .doc, .docx, .xls, .xlsx, .ppt e .pptx, nonché informazioni da app come LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin e ToDesk.
  • Cattura i messaggi di chat dalla piattaforma DingTalk.
  • Recupera i pacchetti Python che non sono dannosi.
  • FileScanner e FileScannerAllDisk analizzano il sistema per individuare i file.
  • getOperaCookie estrae i cookie dal browser Opera.
  • La posizione identifica l'indirizzo IP del computer e le coordinate GPS.
  • qpass raccoglie informazioni dal browser Tencent QQ, che può essere eventualmente sostituito dal modulo qqpass.
  • qqpass e Webpass raccolgono le password da vari browser, tra cui Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome e UC Browser.
  • ScreenRecord cattura le registrazioni dello schermo.
  • Telegram estrae informazioni da Telegram.
  • WeChat recupera i dati dalla piattaforma WeChat.
  • WirelessKey raccoglie i dettagli della rete wireless e le password associate.

Le caratteristiche uniche includono la possibilità di avviare una shell personalizzata per l'esecuzione di payload remoti e moduli Python per attività specifiche.

Un focus sullo spionaggio e il furto di dati

Il design modulare della backdoor consente la raccolta di dati mirati, come messaggi di chat da DingTalk e WeChat, password del browser e dati sulla posizione del sistema. Strumenti aggiuntivi supportano la funzionalità di proxy inverso e download di file, migliorando le sue capacità di spionaggio.

Una minaccia crescente: l’evoluzione di PlushDaemon

L'ampio set di strumenti di PlushDaemon e il suo impegno per lo sviluppo continuo lo rendono un'entità formidabile. Le operazioni del gruppo dal 2019 evidenziano una chiara attenzione alla creazione di strumenti sofisticati, posizionandolo come una minaccia significativa nel panorama della sicurezza informatica.

Conclusione: vigilanza contro le minacce emergenti

Gli attacchi alla supply chain e le capacità avanzate di PlushDaemon sottolineano l'importanza della vigilanza nella comunità della sicurezza informatica. Prendendo di mira canali di distribuzione software affidabili, il gruppo ha dimostrato la sua capacità di infiltrarsi nelle reti ed eseguire complesse campagne di spionaggio.

Tendenza

I più visti

Caricamento in corso...