SlowStepper 백도어 맬웨어

2023년, 이전에 문서화되지 않은 중국 연계 고급 지속 위협(APT) 그룹인 PlushDaemon이 한국 VPN 공급업체에 대한 정교한 공급망 공격 이후 사이버 보안 레이더에 등장했습니다. 이 공격에는 합법적인 설치 프로그램을 손상된 버전으로 대체하고 시그니처 임플란트인 SlowStepper를 배포하는 것이 포함되었습니다.

SlowStepper: PlushDaemon의 무기고에 있는 다재다능한 백도어

PlushDaemon의 운영의 핵심은 SlowStepper로, 30개 이상의 구성 요소로 구성된 툴킷을 자랑하는 기능이 풍부한 백도어입니다. C++, Python, Go로 작성된 이 백도어는 그룹의 주요 간첩 및 침입 도구 역할을 합니다. SlowStepper는 적어도 2019년부터 개발되어 왔으며, 여러 번의 반복을 거쳐 진화했으며, 최신 버전은 2024년 6월에 컴파일되었습니다.

하이재킹된 채널: 초기 접근의 열쇠

PlushDaemon의 공격 전략은 웹 서버의 취약성을 자주 악용하고 합법적인 소프트웨어 업데이트 채널을 하이재킹합니다. 이 그룹은 웹사이트 'ipany.kr'을 통해 배포된 VPN 소프트웨어의 NSIS 설치 프로그램에 안전하지 않은 코드를 임베드하여 초기 접근 권한을 얻었습니다. 손상된 설치 프로그램은 합법적인 소프트웨어와 SlowStepper 백도어를 동시에 제공했습니다.

대상 범위 및 피해자학

이 공격은 잠재적으로 부비트랩이 설치된 설치 프로그램을 다운로드하는 모든 엔터티에 영향을 미쳤습니다. 증거에 따르면 한국 반도체 회사와 신원이 확인되지 않은 소프트웨어 개발자와 관련된 네트워크에 손상된 소프트웨어를 설치하려는 시도가 있었습니다. 초기 피해자는 2023년 후반에 일본과 중국에서 확인되었으며, 이는 이 그룹의 광범위한 영향력을 반영합니다.

복잡한 공격 체인: SlowStepper의 배포

공격은 설치 프로그램('IPanyVPNsetup.exe')을 실행하는 것으로 시작하는데, 여기서는 지속성을 설정하고 로더('AutoMsg.dll')를 시작합니다. 이 로더는 셸코드 실행을 시작하고, 'PerfWatson.exe'와 같은 합법적인 도구를 사용하여 안전하지 않은 DLL 파일을 추출하고 사이드로딩합니다. 마지막 단계는 무해한 이름의 파일('winlogin.gif')에서 SlowStepper를 배포하는 것입니다.

축소된 버전: SlowStepper Lite

연구자들은 이 캠페인에 사용된 SlowStepper의 'Lite' 변형을 식별했는데, 여기에는 전체 버전보다 기능이 적습니다. 그럼에도 불구하고 상당한 기능을 유지하여 중국 코드 저장소인 GitCode에 호스팅된 도구를 통해 포괄적인 감시 및 데이터 수집이 가능합니다.

명령 및 제어: 다단계 접근 방식

SlowStepper는 강력한 다단계 명령 및 제어(C&C) 프로토콜을 사용합니다. 먼저 DNS 서버에 TXT 레코드를 쿼리하여 통신을 위한 IP 주소를 가져옵니다. 실패하면 API를 사용하여 대체 도메인을 해결하는 보조 방법으로 돌아갑니다.

대규모 스파이 활동: SlowStepper의 모듈식 기능

SlowStepper 백도어에는 다양한 정보 수집 도구가 장착되어 있어 다음에서 데이터를 수집할 수 있습니다.

• 인기 있는 웹 브라우저 - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc 브라우저, UC Browser, 360 Browser 및 Mozilla Firefox
• 이미지를 캡처하고 화면을 녹화합니다.
• 민감한 문서와 애플리케이션 데이터(txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx)는 물론 LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin, ToDesk와 같은 앱의 정보도 수집합니다.
• DingTalk 플랫폼에서 채팅 메시지를 캡처합니다.
• 해롭지 않은 Python 패키지를 검색합니다.
• FileScanner와 FileScannerAllDisk는 시스템을 분석하여 파일을 찾습니다.
• getOperaCookie는 Opera 브라우저에서 쿠키를 추출합니다.
• 위치는 컴퓨터의 IP 주소와 GPS 좌표를 식별합니다.
• qpass는 Tencent QQ Browser로부터 정보를 수집하는데, 이는 qqpass 모듈로 대체될 수 있습니다.
• qqpass와 Webpass는 Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome, UC Browser 등 다양한 브라우저에서 비밀번호를 수집합니다.
• ScreenRecord는 화면을 녹화합니다.
• 텔레그램은 텔레그램에서 정보를 추출합니다.
• WeChat은 WeChat 플랫폼에서 데이터를 검색합니다.
• WirelessKey는 무선 네트워크 세부 정보와 관련 비밀번호를 수집합니다.

고유한 기능으로는 특정 작업을 위한 원격 페이로드와 Python 모듈을 실행하기 위한 사용자 정의 셸을 시작하는 기능이 있습니다.

스파이 활동과 데이터 도난에 대한 초점

백도어의 모듈식 설계는 DingTalk 및 WeChat의 채팅 메시지, 브라우저 비밀번호, 시스템 위치 데이터와 같은 타겟 데이터 수집을 가능하게 합니다. 추가 도구는 역방향 프록시 기능과 파일 다운로드를 지원하여 스파이 기능을 강화합니다.

커지는 위협: PlushDaemon의 진화

PlushDaemon의 광범위한 툴셋과 지속적인 개발에 대한 헌신은 그것을 강력한 단체로 만듭니다. 2019년 이후 이 그룹의 운영은 정교한 도구를 만드는 데 중점을 두고 있으며, 사이버 보안 환경에서 중대한 위협으로 자리 매김하고 있습니다.

결론: 새로운 위협에 대한 경계

PlushDaemon의 공급망 공격과 고급 기능은 사이버 보안 커뮤니티에서 경계의 중요성을 강조합니다. 신뢰할 수 있는 소프트웨어 유통 채널을 타겟팅함으로써 이 그룹은 네트워크에 침투하고 복잡한 스파이 활동을 실행할 수 있는 능력을 보여주었습니다.