Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Pintu belakang Perisian Hasad Pintu Belakang SlowStepper

Perisian Hasad Pintu Belakang SlowStepper

Menjelang Mezo pada Pintu belakang, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke
بهاس ملايو

Pada tahun 2023, kumpulan Advanced Persistent Threat (APT) yang tidak berdokumen sebelum ini, PlushDaemon, muncul dalam radar keselamatan siber berikutan serangan rantaian bekalan yang canggih ke atas penyedia VPN Korea Selatan. Serangan ini melibatkan menggantikan pemasang yang sah dengan versi yang terjejas dan menggunakan implan tandatangan mereka, SlowStepper.

SlowStepper: Pintu Belakang Serbaguna di Arsenal PlushDaemon

Pusat operasi PlushDaemon ialah SlowStepper, pintu belakang yang kaya dengan ciri yang mempunyai kit alat yang mengandungi lebih 30 komponen. Ditulis dalam C++, Python dan Go, pintu belakang ini berfungsi sebagai instrumen utama kumpulan untuk pengintipan dan pencerobohan. SlowStepper telah dibangunkan sejak sekurang-kurangnya 2019, berkembang melalui berbilang lelaran, dengan versi terbaharunya disusun pada Jun 2024.

Saluran Dirampas: Kunci Akses Awal

Strategi serangan PlushDaemon kerap mengeksploitasi kelemahan dalam pelayan Web dan merampas saluran kemas kini perisian yang sah. Kumpulan itu mendapat akses awal dengan membenamkan kod tidak selamat ke dalam pemasang NSIS bagi perisian VPN yang diedarkan melalui tapak web 'ipany.kr'. Pemasang yang terjejas secara serentak menghantar perisian yang sah dan pintu belakang SlowStepper.

Skop Sasaran dan Viktimologi

Serangan itu berpotensi menjejaskan mana-mana entiti yang memuat turun pemasang yang terperangkap samar. Bukti menunjukkan percubaan untuk memasang perisian yang terjejas dalam rangkaian yang dikaitkan dengan syarikat semikonduktor Korea Selatan dan pembangun perisian yang tidak dikenali. Mangsa awal dikenal pasti di Jepun dan China pada akhir 2023, mencerminkan jangkauan meluas kumpulan itu.

Rantaian Serangan yang Kompleks: Penggunaan SlowStepper

Serangan bermula dengan melaksanakan pemasang ('IPanyVPNsetup.exe'), yang menyediakan kegigihan dan melancarkan pemuat ('AutoMsg.dll'). Pemuat ini memulakan pelaksanaan kod shell, mengekstrak dan memuatkan sisi fail DLL yang tidak selamat menggunakan alat yang sah seperti 'PerfWatson.exe.' Peringkat terakhir melibatkan penggunaan SlowStepper daripada fail yang dinamakan tidak berbahaya ('winlogin.gif').

Versi Scaled-Down: SlowStepper Lite

Penyelidik mengenal pasti varian 'Lite' SlowStepper yang digunakan dalam kempen ini, yang merangkumi ciri yang lebih sedikit daripada versi penuh. Walaupun begitu, ia mengekalkan keupayaan yang ketara, membolehkan pengawasan komprehensif dan pengumpulan data melalui alat yang dihoskan pada GitCode, repositori kod Cina.

Perintah-dan-Kawalan: Pendekatan Pelbagai Peringkat

SlowStepper menggunakan protokol Perintah-dan-Kawalan (C&C) berbilang peringkat yang teguh. Ia mula-mula menanyakan pelayan DNS untuk rekod TXT untuk mengambil alamat IP untuk komunikasi. Jika ini gagal, ia kembali kepada kaedah kedua, menggunakan API untuk menyelesaikan domain sandaran.

Pengintipan pada Skala: Keupayaan Modular SlowStepper

Pintu belakang SlowStepper dilengkapi dengan pelbagai alatan untuk mengumpul maklumat, membolehkannya mengumpul data daripada:

  • Penyemak imbas Web popular - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc pelayar, UC Browser, 360 Browser dan Mozilla Firefox
  • Tangkap imej dan rakam skrin.
  • Kumpulkan dokumen sensitif dan data aplikasi - txt, .doc, .docx, .xls, .xlsx, .ppt dan .pptx, serta maklumat daripada apl seperti LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin, dan ToDesk.
  • Tangkap mesej sembang daripada platform DingTalk.
  • Dapatkan semula pakej Python yang tidak berbahaya.
  • FileScanner dan FileScannerAllDisk menganalisis sistem untuk mencari fail.
  • getOperaCookie mengekstrak kuki daripada penyemak imbas Opera.
  • Lokasi mengenal pasti alamat IP komputer dan koordinat GPS.
  • qpass mengumpul maklumat daripada Pelayar Tencent QQ, yang mungkin boleh digantikan dengan modul qqpass.
  • qqpass dan Webpass, kumpulkan kata laluan daripada pelbagai penyemak imbas, termasuk Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome dan UC Browser.
  • ScreenRecord menangkap rakaman skrin.
  • Telegram mengekstrak maklumat daripada Telegram.
  • WeChat mendapatkan semula data daripada platform WeChat.
  • WirelessKey mengumpul butiran rangkaian wayarles dan kata laluan yang berkaitan.

Ciri unik termasuk keupayaan untuk melancarkan shell tersuai untuk melaksanakan muatan jauh dan modul Python untuk tugas tertentu.

Tumpuan pada Pengintipan dan Kecurian Data

Reka bentuk modular pintu belakang membolehkan pengumpulan data yang disasarkan, seperti mesej sembang daripada DingTalk dan WeChat, kata laluan penyemak imbas dan data lokasi sistem. Alat tambahan menyokong fungsi proksi terbalik dan muat turun fail, meningkatkan keupayaan pengintipannya.

Ancaman yang semakin meningkat: Evolusi PlushDaemon

Set alat PlushDaemon yang luas dan komitmennya terhadap pembangunan berterusan menjadikannya entiti yang menggerunkan. Operasi kumpulan sejak 2019 menyerlahkan fokus yang jelas untuk mencipta alat yang canggih, meletakkannya sebagai ancaman penting dalam landskap keselamatan siber.

Kesimpulan: Kewaspadaan terhadap Ancaman yang Muncul

Serangan rantaian bekalan PlushDaemon dan keupayaan lanjutan menekankan kepentingan kewaspadaan dalam komuniti keselamatan siber. Dengan menyasarkan saluran pengedaran perisian yang dipercayai, kumpulan itu telah menunjukkan keupayaannya untuk menyusup ke rangkaian dan melaksanakan kempen pengintipan yang kompleks.

Trending

Paling banyak dilihat

Memuatkan...