មេរោគ SlowStepper Backdoor Malware

នៅឆ្នាំ 2023 ក្រុម Advanced Persistent Threat (APT) ដែលត្រូវបានតម្រឹមដោយប្រទេសចិនដែលមិនមានឯកសារពីមុនគឺ PlushDaemon បានលេចឡើងនៅលើរ៉ាដាសុវត្ថិភាពតាមអ៊ីនធឺណិតបន្ទាប់ពីការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ដ៏ស្មុគ្រស្មាញលើអ្នកផ្តល់សេវា VPN របស់កូរ៉េខាងត្បូង។ ការវាយប្រហារនេះពាក់ព័ន្ធនឹងការជំនួសកម្មវិធីដំឡើងស្របច្បាប់ជាមួយនឹងកំណែដែលត្រូវបានសម្របសម្រួល និងការដាក់ពង្រាយការផ្សាំហត្ថលេខារបស់ពួកគេ SlowStepper ។

SlowStepper: ជា Backdoor ដែលអាចប្រើប្រាស់បាននៅក្នុងក្រុម Arsenal របស់ PlushDaemon

ចំណុចកណ្តាលនៃប្រតិបត្តិការរបស់ PlushDaemon គឺ SlowStepper ដែលជា backdoor សំបូរទៅដោយលក្ខណៈពិសេសដែលមានកញ្ចប់ឧបករណ៍ជាង 30 សមាសភាគ។ សរសេរក្នុង C++, Python, និង Go, backdoor នេះបម្រើជាឧបករណ៍ចម្បងរបស់ក្រុមសម្រាប់ចារកម្ម និងការឈ្លានពាន។ SlowStepper មាននៅក្នុងការអភិវឌ្ឍន៍តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2019 មកម្ល៉េះ ដោយមានការវិវឌ្ឍន៍តាមរយៈការធ្វើឡើងវិញច្រើនដង ជាមួយនឹងកំណែចុងក្រោយបំផុតរបស់វាត្រូវបានចងក្រងនៅក្នុងខែមិថុនា ឆ្នាំ 2024។

ឆានែលដែលត្រូវបានប្លន់៖ គន្លឹះក្នុងការចូលប្រើដំបូង

យុទ្ធសាស្ត្រវាយប្រហាររបស់ PlushDaemon ជារឿយៗទាញយកភាពងាយរងគ្រោះនៅក្នុងម៉ាស៊ីនមេគេហទំព័រ និងលួចយកបណ្តាញអាប់ដេតកម្មវិធីស្របច្បាប់។ ក្រុមនេះទទួលបានការចូលប្រើប្រាស់ដំបូងដោយការបង្កប់កូដមិនមានសុវត្ថិភាពទៅក្នុងកម្មវិធីដំឡើង NSIS នៃកម្មវិធី VPN ដែលចែកចាយតាមរយៈគេហទំព័រ 'ipany.kr' ។ កម្មវិធីដំឡើងដែលត្រូវបានសម្របសម្រួលបានចែកចាយកម្មវិធីស្របច្បាប់ និង SlowStepper backdoor ក្នុងពេលដំណាលគ្នា។

វិសាលភាពគោលដៅ និងវិសាលភាពជនរងគ្រោះ

ការវាយប្រហារអាចប៉ះពាល់ដល់អង្គភាពណាមួយដែលទាញយកកម្មវិធីដំឡើងដែលជាប់គាំង។ ភ័ស្តុតាងបង្ហាញពីការប៉ុនប៉ងដំឡើងកម្មវិធីដែលត្រូវបានសម្របសម្រួលនៅក្នុងបណ្តាញដែលមានទំនាក់ទំនងជាមួយក្រុមហ៊ុន semiconductor របស់កូរ៉េខាងត្បូង និងអ្នកបង្កើតកម្មវិធីដែលមិនស្គាល់អត្តសញ្ញាណ។ ជនរងគ្រោះដំបូងត្រូវបានគេកំណត់អត្តសញ្ញាណនៅក្នុងប្រទេសជប៉ុន និងចិននៅចុងឆ្នាំ 2023 ដែលឆ្លុះបញ្ចាំងពីការរីករាលដាលរបស់ក្រុម។

ខ្សែសង្វាក់វាយប្រហារដ៏ស្មុគស្មាញ៖ ការដាក់ពង្រាយ SlowStepper

ការវាយប្រហារចាប់ផ្តើមដោយការប្រតិបត្តិកម្មវិធីដំឡើង ('IPanyVPNsetup.exe') ដែលកំណត់ការតស៊ូ និងបើកដំណើរការកម្មវិធីផ្ទុក ('AutoMsg.dll') ។ កម្មវិធីផ្ទុកទិន្នន័យនេះចាប់ផ្តើមការប្រតិបត្តិសែលកូដ ការស្រង់ចេញ និងការផ្ទុកឯកសារ DLL ដែលមិនមានសុវត្ថិភាពដោយប្រើឧបករណ៍ស្របច្បាប់ដូចជា 'PerfWatson.exe ។ ដំណាក់កាលចុងក្រោយពាក់ព័ន្ធនឹងការដាក់ពង្រាយ SlowStepper ពីឯកសារដែលមានឈ្មោះដោយមិនដឹងខ្លួន ('winlogin.gif')។

កំណែដែលបានធ្វើមាត្រដ្ឋានចុះក្រោម៖ SlowStepper Lite

អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណ 'Lite' វ៉ារ្យ៉ង់នៃ SlowStepper ដែលប្រើក្នុងយុទ្ធនាការនេះ ដែលរួមបញ្ចូលលក្ខណៈពិសេសតិចជាងកំណែពេញលេញ។ ទោះបីជាយ៉ាងនេះក្តី វានៅតែរក្សាបាននូវសមត្ថភាពសំខាន់ៗ ដែលអនុញ្ញាតឱ្យមានការឃ្លាំមើល និងការប្រមូលទិន្នន័យយ៉ាងទូលំទូលាយ តាមរយៈឧបករណ៍ដែលបង្ហោះនៅលើ GitCode ដែលជាឃ្លាំងកូដរបស់ចិន។

Command-and-Control៖ វិធីសាស្រ្តពហុដំណាក់កាល

SlowStepper ប្រើពិធីការ Command-and-Control (C&C) ពហុដំណាក់កាលដ៏រឹងមាំ។ ដំបូងវាសួរម៉ាស៊ីនមេ DNS សម្រាប់កំណត់ត្រា TXT ដើម្បីទៅយកអាសយដ្ឋាន IP សម្រាប់ការទំនាក់ទំនង។ ប្រសិនបើវាបរាជ័យ វាត្រលប់ទៅវិធីសាស្ត្របន្ទាប់បន្សំ ដោយប្រើ API ដើម្បីដោះស្រាយដែនជំនួស។

Espionage at Scale: Modular Capabilities of SlowStepper

SlowStepper backdoor ត្រូវបានបំពាក់ដោយឧបករណ៍ជាច្រើនសម្រាប់ប្រមូលព័ត៌មាន ដែលអនុញ្ញាតឱ្យវាប្រមូលទិន្នន័យពី៖

• កម្មវិធីរុករកតាមអ៊ីនធឺណិតពេញនិយម - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser និង Mozilla Firefox
• ថតរូបភាព និងថតអេក្រង់។
• ប្រមូលឯកសាររសើប និងទិន្នន័យកម្មវិធី - txt, .doc, .docx, .xls, .xlsx, .ppt, និង .pptx ក៏ដូចជាព័ត៌មានពីកម្មវិធីដូចជា LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin និង ToDesk ។
• ចាប់យកសារជជែកពីវេទិកា DingTalk ។
• ទាញយកកញ្ចប់ Python ដែលមិនបង្កគ្រោះថ្នាក់។
• FileScanner និង FileScannerAllDisk វិភាគប្រព័ន្ធដើម្បីកំណត់ទីតាំងឯកសារ។
• getOperaCookie ទាញយកខូគីពីកម្មវិធីរុករក Opera ។
• ទីតាំងកំណត់អាសយដ្ឋាន IP របស់កុំព្យូទ័រ និងកូអរដោនេ GPS ។
• qpass ប្រមូលព័ត៌មានពី Tencent QQ Browser ដែលអាចត្រូវបានជំនួសដោយម៉ូឌុល qqpass ។
• qqpass និង Webpass ប្រមូលពាក្យសម្ងាត់ពីកម្មវិធីរុករកផ្សេងៗ រួមទាំង Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome និង UC Browser ។
• ScreenRecord ចាប់យកការថតអេក្រង់។
• Telegram ទាញយកព័ត៌មានពី Telegram ។
• WeChat ទាញយកទិន្នន័យពីវេទិកា WeChat ។
• WirelessKey ប្រមូលព័ត៌មានលម្អិតអំពីបណ្តាញឥតខ្សែ និងពាក្យសម្ងាត់ដែលពាក់ព័ន្ធ។

លក្ខណៈពិសេសប្លែកៗរួមមានសមត្ថភាពក្នុងការបើកដំណើរការសែលផ្ទាល់ខ្លួនសម្រាប់ដំណើរការបន្ទុកពីចម្ងាយ និងម៉ូឌុល Python សម្រាប់កិច្ចការជាក់លាក់។

ផ្តោតលើចារកម្ម និងការលួចទិន្នន័យ

ការរចនាម៉ូឌុលរបស់ backdoor អនុញ្ញាតការប្រមូលទិន្នន័យគោលដៅ ដូចជាសារជជែកពី DingTalk និង WeChat ពាក្យសម្ងាត់កម្មវិធីរុករកតាមអ៊ីនធឺណិត និងទិន្នន័យទីតាំងប្រព័ន្ធ។ ឧបករណ៍បន្ថែមគាំទ្រមុខងារប្រូកស៊ីបញ្ច្រាស និងការទាញយកឯកសារ បង្កើនសមត្ថភាពចារកម្មរបស់វា។

ការគំរាមកំហែងដែលកំពុងកើនឡើង៖ ការវិវត្តរបស់ PlushDaemon

សំណុំឧបករណ៍ដ៏ទូលំទូលាយរបស់ PlushDaemon និងការប្តេជ្ញាចិត្តរបស់វាចំពោះការអភិវឌ្ឍន៍ដែលកំពុងដំណើរការ ធ្វើឱ្យវាក្លាយជាអង្គភាពដ៏រឹងមាំមួយ។ ប្រតិបត្តិការរបស់ក្រុមនេះចាប់តាំងពីឆ្នាំ 2019 បង្ហាញពីការផ្តោតអារម្មណ៍ច្បាស់លាស់លើការបង្កើតឧបករណ៍ទំនើប ដោយកំណត់ថាវាជាការគំរាមកំហែងដ៏សំខាន់នៅក្នុងទិដ្ឋភាពសន្តិសុខតាមអ៊ីនធឺណិត។

សេចក្តីសន្និដ្ឋាន៖ ការប្រុងប្រយ័ត្នប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងកើតមាន

ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ និងសមត្ថភាពកម្រិតខ្ពស់របស់ PlushDaemon បញ្ជាក់ពីសារៈសំខាន់នៃការប្រុងប្រយ័ត្ននៅក្នុងសហគមន៍សុវត្ថិភាពអ៊ីនធឺណិត។ តាមរយៈការកំណត់គោលដៅបណ្តាញចែកចាយកម្មវិធីដែលអាចទុកចិត្តបាន ក្រុមនេះបានបង្ហាញសមត្ថភាពរបស់ខ្លួនក្នុងការជ្រៀតចូលបណ្តាញ និងប្រតិបត្តិយុទ្ធនាការចារកម្មដ៏ស្មុគស្មាញ។