Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Užpakalinės durys „SlowStepper Backdoor“ kenkėjiška programa

„SlowStepper Backdoor“ kenkėjiška programa

Autorius Mezo, Užpakalinės durys, Išplėstinė nuolatinė grėsmė (APT)
Versti į:
Lietuvių

2023 m. po sudėtingos tiekimo grandinės atakos prieš Pietų Korėjos VPN teikėją kibernetinio saugumo radare pasirodė Kinijai suderinta Advanced Persistent Threat (APT) grupė PlushDaemon, kuri anksčiau nebuvo dokumentuota. Ši ataka apėmė teisėtos diegimo programos pakeitimą pažeista versija ir jų parašo implanto SlowStepper įdiegimą.

„SlowStepper“: universalios užpakalinės durys „PlushDaemon“ arsenale

„PlushDaemon“ operacijų pagrindas yra „SlowStepper“, daug funkcijų turintis užpakalinis durelis, kuriame yra daugiau nei 30 komponentų. Šios užpakalinės durys, parašytos C++, Python ir Go kalbomis, yra pagrindinė grupės šnipinėjimo ir įsibrovimo priemonė. „SlowStepper“ buvo kuriama mažiausiai nuo 2019 m., plėtojama per daugybę iteracijų, o naujausia versija buvo sudaryta 2024 m. birželio mėn.

Užgrobti kanalai: raktas į pradinę prieigą

„PlushDaemon“ atakų strategija dažnai išnaudoja žiniatinklio serverių spragas ir užgrobia teisėtus programinės įrangos naujinimo kanalus. Pradinę prieigą grupė gavo įterpdama nesaugų kodą į VPN programinės įrangos, platinamos per svetainę „ipany.kr“, NSIS diegimo programą. Pažeista diegimo programa vienu metu pateikė teisėtą programinę įrangą ir „SlowStepper“ užpakalines duris.

Tikslinė sritis ir viktimologija

Ši ataka galėjo paveikti bet kurį subjektą, atsisiunčiantį „booby-trapped“ diegimo programą. Įrodymai rodo, kad pažeistą programinę įrangą bandoma įdiegti tinkluose, susijusiuose su Pietų Korėjos puslaidininkių kompanija ir nenustatytu programinės įrangos kūrėju. Pirminės aukos buvo nustatytos Japonijoje ir Kinijoje 2023 m. pabaigoje, o tai atspindi platų grupės mastą.

Sudėtinga puolimo grandinė: „SlowStepper“ diegimas

Ataka prasideda paleidus diegimo programą („IPanyVPNsetup.exe“), kuri nustato atkaklumą ir paleidžia įkroviklį („AutoMsg.dll“). Šis įkroviklis inicijuoja apvalkalo kodo vykdymą, išskleidžia ir įkelia nesaugius DLL failus naudodamas teisėtus įrankius, pvz., „PerfWatson.exe“. Paskutinis etapas apima „SlowStepper“ diegimą iš nepavojingai pavadinto failo („winlogin.gif“).

Sumažinta versija: SlowStepper Lite

Tyrėjai nustatė šioje kampanijoje naudojamą „Lite“ SlowStepper variantą, kuriame yra mažiau funkcijų nei pilnoje versijoje. Nepaisant to, jis išlaiko reikšmingas galimybes, leidžiančias visapusiškai stebėti ir rinkti duomenis naudojant įrankius, esančius GitCode, Kinijos kodų saugykloje.

Komandos ir valdymas: daugiapakopis metodas

„SlowStepper“ naudoja tvirtą daugiapakopį komandų ir valdymo (C&C) protokolą. Pirmiausia jis prašo DNS serverių TXT įrašo, kad gautų IP adresus ryšiui. Jei tai nepavyksta, grįžtama prie antrinio metodo, naudojant API, kad išspręstų atsarginį domeną.

Didelio masto šnipinėjimas: „SlowStepper“ modulinės galimybės

„SlowStepper“ užpakalinės durys turi daugybę informacijos rinkimo įrankių, leidžiančių rinkti duomenis iš:

  • Populiarios žiniatinklio naršyklės – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc naršyklė, UC naršyklė, 360 naršyklė ir Mozilla Firefox
  • Užfiksuokite vaizdus ir įrašykite ekranus.
  • Rinkti neskelbtinus dokumentus ir programų duomenis – txt, .doc, .docx, .xls, .xlsx, .ppt ir .pptx, taip pat informaciją iš tokių programų kaip LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin ir ToDesk.
  • Užfiksuokite pokalbių pranešimus iš DingTalk platformos.
  • Gaukite nekenksmingus Python paketus.
  • „FileScanner“ ir „FileScannerAllDisk“ analizuoja sistemą, kad surastų failus.
  • getOperaCookie ištraukia slapukus iš Opera naršyklės.
  • Vieta identifikuoja kompiuterio IP adresą ir GPS koordinates.
  • qpass renka informaciją iš Tencent QQ Browser, kurią galbūt galima pakeisti qqpass moduliu.
  • qqpass ir Webpass, rinkti slaptažodžius iš įvairių naršyklių, įskaitant Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome ir UC Browser.
  • ScreenRecord fiksuoja ekrano įrašus.
  • „Telegram“ ištraukia informaciją iš „Telegram“.
  • „WeChat“ nuskaito duomenis iš „WeChat“ platformos.
  • „WirelessKey“ renka belaidžio tinklo informaciją ir susijusius slaptažodžius.

Unikalios funkcijos apima galimybę paleisti pasirinktinį apvalkalą nuotoliniam naudingumui vykdyti ir Python modulius konkrečioms užduotims atlikti.

Dėmesys šnipinėjimui ir duomenų vagystei

Modulinė galinių durų konstrukcija leidžia tikslingai rinkti duomenis, tokius kaip pokalbių pranešimai iš DingTalk ir WeChat, naršyklės slaptažodžiai ir sistemos vietos duomenys. Papildomi įrankiai palaiko atvirkštinio tarpinio serverio funkcijas ir failų atsisiuntimą, o tai pagerina jo šnipinėjimo galimybes.

Didėjanti grėsmė: „PlushDaemon“ evoliucija

Platus „PlushDaemon“ įrankių rinkinys ir įsipareigojimas nuolatiniam vystymuisi daro jį nuostabiu subjektu. Grupės veikla nuo 2019 m. pabrėžia aiškų dėmesį į sudėtingų įrankių kūrimą, pozicionuojant tai kaip didelę grėsmę kibernetinio saugumo srityje.

Išvada: budrumas prieš kylančias grėsmes

„PlushDaemon“ tiekimo grandinės atakos ir pažangios galimybės pabrėžia budrumo svarbą kibernetinio saugumo bendruomenėje. Nukreipdama į patikimus programinės įrangos platinimo kanalus, grupė įrodė savo gebėjimą įsiskverbti į tinklus ir vykdyti sudėtingas šnipinėjimo kampanijas.

Tendencijos

Labiausiai žiūrima

Iššokantieji langai „Jei jums 18 metų, bakstelėkite...

Netikri įspėjamieji pranešimai
25,432
Iššokantieji langai „Jei esate 18 metų, bakstelėkite leisti“ yra iššokančiųjų langų tipas, kuris rodomas vartotojo ekrane naršant internete. Šie iššokantieji langai gali kelti nerimą vartotojams, nes jie ragina spustelėti mygtuką „leisti“, kad toliau naudotųsi svetaine, kurioje jie šiuo metu yra. Šie iššokantys langai yra susiję su tokiomis nepageidaujamomis programomis kaip reklaminė...
Įkeliama...