Vairāku licenču atlaides piedāvājums
Draudu datu bāze Aizmugures durvis SlowStepper Backdoor ļaunprātīga programmatūra

SlowStepper Backdoor ļaunprātīga programmatūra

Līdz Mezo. gadam Aizmugures durvis, Advanced Persistent Threat (APT). gadā
Tulkot uz:
Latviešu

2023. gadā kiberdrošības radarā parādījās iepriekš nedokumentēta Ķīnai saskaņota Advanced Persistent Threat (APT) grupa PlushDaemon pēc sarežģīta piegādes ķēdes uzbrukuma Dienvidkorejas VPN nodrošinātājam. Šis uzbrukums ietvēra likumīgā instalētāja aizstāšanu ar apdraudētu versiju un to paraksta implanta SlowStepper izvietošanu.

SlowStepper: daudzpusīgas aizmugures durvis PlushDaemon arsenālā

PlushDaemon darbību centrālais elements ir SlowStepper — ar funkcijām bagātas aizmugures durvis, kas lepojas ar vairāk nekā 30 komponentu rīku komplektu. Šīs aizmugures durvis, kas rakstītas C++, Python un Go, kalpo kā grupas galvenais spiegošanas un ielaušanās instruments. SlowStepper ir izstrādāts vismaz kopš 2019. gada, attīstoties vairāku iterāciju laikā, un tā jaunākā versija tika apkopota 2024. gada jūnijā.

Nolaupīti kanāli: sākotnējās piekļuves atslēga

PlushDaemon uzbrukuma stratēģija bieži izmanto tīmekļa serveru ievainojamības un nolaupa likumīgus programmatūras atjaunināšanas kanālus. Grupa ieguva sākotnējo piekļuvi, iegulstot nedrošu kodu VPN programmatūras NSIS instalētājā, kas izplatīta, izmantojot vietni “ipany.kr”. Kompromitētais instalētājs vienlaikus piegādāja likumīgo programmatūru un SlowStepper aizmugures durvis.

Mērķa joma un viktimoloģija

Uzbrukums, iespējams, ietekmēja jebkuru entītiju, kas lejupielādē instalēšanas programmu. Pierādījumi liecina par mēģinājumiem instalēt uzlauzto programmatūru tīklos, kas saistīti ar Dienvidkorejas pusvadītāju uzņēmumu un neidentificētu programmatūras izstrādātāju. Sākotnējie upuri tika identificēti Japānā un Ķīnā 2023. gada beigās, atspoguļojot grupas plašo izplatību.

Sarežģīta uzbrukuma ķēde: SlowStepper izvietošana

Uzbrukums sākas ar instalēšanas programmas ("IPanyVPNsetup.exe") izpildi, kas iestata noturību un palaiž ielādētāju ("AutoMsg.dll"). Šis ielādētājs sāk čaulas koda izpildi, nedrošu DLL failu izvilkšanu un ielādi, izmantojot likumīgus rīkus, piemēram, PerfWatson.exe. Pēdējais posms ietver SlowStepper izvietošanu no nekaitīgi nosaukta faila ("winlogin.gif").

Samazināta versija: SlowStepper Lite

Pētnieki identificēja šajā kampaņā izmantoto SlowStepper “Lite” variantu, kas ietver mazāk funkciju nekā pilnajā versijā. Neskatoties uz to, tas saglabā ievērojamas iespējas, nodrošinot visaptverošu uzraudzību un datu vākšanu, izmantojot rīkus, kas mitināti GitCode, Ķīnas kodu repozitorijā.

Komandēšana un kontrole: daudzpakāpju pieeja

SlowStepper izmanto izturīgu daudzpakāpju Command-and-Control (C&C) protokolu. Vispirms tas pieprasa DNS serveriem TXT ierakstu, lai iegūtu IP adreses saziņai. Ja tas neizdodas, tas atgriežas pie sekundārās metodes, izmantojot API, lai atrisinātu rezerves domēnu.

Mēroga spiegošana: SlowStepper modulārās iespējas

SlowStepper aizmugures durvis ir aprīkotas ar plašu informācijas vākšanas rīku klāstu, kas ļauj iegūt datus no:

  • Populāras tīmekļa pārlūkprogrammas — Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc, UC Browser, 360 Browser un Mozilla Firefox
  • Uzņemiet attēlus un ierakstiet ekrānus.
  • Apkopojiet sensitīvus dokumentus un lietojumprogrammu datus — txt, .doc, .docx, .xls, .xlsx, .ppt un .pptx, kā arī informāciju no tādām lietotnēm kā LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin un ToDesk.
  • Uzņemiet tērzēšanas ziņojumus no DingTalk platformas.
  • Izgūt Python pakotnes, kas nav kaitīgas.
  • FileScanner un FileScannerAllDisk analizē sistēmu, lai atrastu failus.
  • getOperaCookie izvelk sīkfailus no Opera pārlūkprogrammas.
  • Atrašanās vieta identificē datora IP adresi un GPS koordinātas.
  • qpass apkopo informāciju no Tencent QQ Browser, kuru, iespējams, var aizstāt ar qqpass moduli.
  • qqpass un Webpass, apkopojiet paroles no dažādām pārlūkprogrammām, tostarp Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome un UC Browser.
  • ScreenRecord tver ekrāna ierakstus.
  • Telegram izvelk informāciju no Telegram.
  • WeChat izgūst datus no WeChat platformas.
  • WirelessKey apkopo informāciju par bezvadu tīklu un saistītās paroles.

Unikālās funkcijas ietver iespēju palaist pielāgotu čaulu attālo lietderīgo kravu izpildei un Python moduļus konkrētiem uzdevumiem.

Koncentrēšanās uz spiegošanu un datu zādzībām

Aizmugures durvju modulārais dizains nodrošina mērķtiecīgu datu vākšanu, piemēram, tērzēšanas ziņojumus no DingTalk un WeChat, pārlūkprogrammas paroles un sistēmas atrašanās vietas datus. Papildu rīki atbalsta apgrieztā starpniekservera funkcionalitāti un failu lejupielādi, uzlabojot tā spiegošanas iespējas.

Pieaugošs drauds: PlushDaemon’s Evolution

PlushDaemon plašais rīku komplekts un tā apņemšanās turpināt attīstību padara to par milzīgu vienību. Grupas darbība kopš 2019. gada izceļ skaidru koncentrēšanos uz sarežģītu rīku izveidi, pozicionējot to kā nozīmīgu apdraudējumu kiberdrošības vidē.

Secinājums: modrība pret jauniem draudiem

PlushDaemon piegādes ķēdes uzbrukumi un uzlabotās iespējas uzsver modrības nozīmi kiberdrošības kopienā. Mērķējoties uz uzticamiem programmatūras izplatīšanas kanāliem, grupa ir pierādījusi savu spēju iefiltrēties tīklos un īstenot sarežģītas spiegošanas kampaņas.

Tendences

Visvairāk skatīts

Uznirstošie logi “Ja jums ir 18 gadi, pieskarieties...

Viltus brīdinājuma ziņojumi
25,432
Uznirstošie logi “Ja jums ir 18 gadus, pieskarieties Atļaut” ir uznirstošo reklāmu veids, kas tiek rādīts lietotāja ekrānā, pārlūkojot internetu. Šie uznirstošie logi var būt diezgan satraucoši lietotājiem, jo viņi mudina viņus noklikšķināt uz pogas "atļaut", lai turpinātu izmantot vietni, kurā viņi pašlaik atrodas. Šie uznirstošie logi ir saistīti ar tādām nevēlamām programmām kā...
Notiek ielāde...