Rabatttilbud for flere lisenser
Trusseldatabase Bakdører SlowStepper Backdoor Malware

SlowStepper Backdoor Malware

Med Mezo i Bakdører, Advanced Persistent Threat (APT)
Oversett til:
Norsk

I 2023 dukket en tidligere udokumentert Kina-justert Advanced Persistent Threat (APT) gruppe, PlushDaemon, opp på cybersikkerhetsradaren etter et sofistikert forsyningskjedeangrep på en sørkoreansk VPN-leverandør. Dette angrepet innebar å erstatte det legitime installasjonsprogrammet med en kompromittert versjon og distribuere deres signaturimplantat, SlowStepper.

SlowStepper: En allsidig bakdør i PlushDaemons Arsenal

Sentralt i PlushDaemons operasjoner er SlowStepper, en funksjonsrik bakdør med et verktøysett med over 30 komponenter. Denne bakdøren er skrevet i C++, Python og Go, og fungerer som gruppens primære instrument for spionasje og inntrenging. SlowStepper har vært under utvikling siden minst 2019, og utviklet seg gjennom flere iterasjoner, med den siste versjonen kompilert i juni 2024.

Kaprede kanaler: nøkkelen til førstegangstilgang

PlushDaemons angrepsstrategi utnytter ofte sårbarheter i webservere og kaprer legitime programvareoppdateringskanaler. Gruppen fikk innledende tilgang ved å legge inn usikker kode i NSIS-installasjonsprogrammet til en VPN-programvare distribuert via nettstedet 'ipany.kr'. Det kompromitterte installasjonsprogrammet leverte samtidig den legitime programvaren og SlowStepper-bakdøren.

Target Scope og Victimology

Angrepet påvirket potensielt enhver enhet som laster ned det booby-fangede installasjonsprogrammet. Bevis viser forsøk på å installere den kompromitterte programvaren i nettverk knyttet til et sørkoreansk halvlederselskap og en uidentifisert programvareutvikler. De første ofrene ble identifisert i Japan og Kina på slutten av 2023, noe som gjenspeiler gruppens utbredte rekkevidde.

A Complex Attack Chain: SlowStepper's Deployment

Angrepet begynner med å kjøre installasjonsprogrammet ('IPanyVPNsetup.exe'), som setter opp persistens og starter en laster ('AutoMsg.dll'). Denne lasteren starter kjøring av skallkode, trekker ut og sidelaster usikre DLL-filer ved å bruke legitime verktøy som 'PerfWatson.exe.' Den siste fasen involverer distribusjon av SlowStepper fra en ufarlig navngitt fil ('winlogin.gif').

En nedskalert versjon: SlowStepper Lite

Forskere identifiserte 'Lite'-varianten av SlowStepper som ble brukt i denne kampanjen, som inkluderer færre funksjoner enn fullversjonen. Til tross for dette beholder den betydelige muligheter, som muliggjør omfattende overvåking og datainnsamling gjennom verktøy som er vert på GitCode, et kinesisk kodelager.

Kommando-og-kontroll: En flertrinns tilnærming

SlowStepper bruker en robust flertrinns kommando-og-kontroll-protokoll (C&C). Den spør først DNS-servere etter en TXT-post for å hente IP-adresser for kommunikasjon. Hvis dette mislykkes, går den tilbake til en sekundær metode ved å bruke en API for å løse et reservedomene.

Spionasje i stor skala: Modular Capabilities of SlowStepper

SlowStepper-bakdøren er utstyrt med et bredt spekter av verktøy for å samle informasjon, slik at den kan samle inn data fra:

  • Populære nettlesere – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc nettleser, UC Browser, 360 Browser og Mozilla Firefox
  • Ta bilder og ta opp skjermer.
  • Samle inn sensitive dokumenter og programdata – txt, .doc, .docx, .xls, .xlsx, .ppt og .pptx, samt informasjon fra apper som LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin og ToDesk.
  • Ta opp chattemeldinger fra DingTalk-plattformen.
  • Hent Python-pakker som ikke er skadelige.
  • FileScanner og FileScannerAllDisk analyserer systemet for å finne filer.
  • getOperaCookie trekker ut informasjonskapsler fra Opera-nettleseren.
  • Plassering identifiserer datamaskinens IP-adresse og GPS-koordinater.
  • qpass samler inn informasjon fra Tencent QQ Browser, som muligens kan erstattes av qqpass-modulen.
  • qqpass og Webpass, samler passord fra forskjellige nettlesere, inkludert Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome og UC Browser.
  • ScreenRecord fanger opp skjermopptak.
  • Telegram trekker ut informasjon fra Telegram.
  • WeChat henter data fra WeChat-plattformen.
  • WirelessKey samler informasjon om trådløst nettverk og tilhørende passord.

Unike funksjoner inkluderer muligheten til å lansere et tilpasset skall for å utføre eksterne nyttelaster og Python-moduler for spesifikke oppgaver.

Et fokus på spionasje og datatyveri

Bakdørens modulære design muliggjør målrettet datainnsamling, som chat-meldinger fra DingTalk og WeChat, nettleserpassord og systemplasseringsdata. Ytterligere verktøy støtter omvendt proxy-funksjonalitet og filnedlastinger, noe som forbedrer spionasjemulighetene.

A Growing Threat: PlushDaemon's Evolution

PlushDaemons omfattende verktøysett og dens forpliktelse til pågående utvikling gjør det til en formidabel enhet. Konsernets virksomhet siden 2019 fremhever et tydelig fokus på å skape sofistikerte verktøy, og posisjonerer det som en betydelig trussel i cybersikkerhetslandskapet.

Konklusjon: årvåkenhet mot nye trusler

PlushDaemons forsyningskjedeangrep og avanserte evner understreker viktigheten av årvåkenhet i nettsikkerhetssamfunnet. Ved å målrette mot pålitelige distribusjonskanaler for programvare, har gruppen demonstrert sin evne til å infiltrere nettverk og gjennomføre komplekse spionasjekampanjer.

Trender

Mest sett

Laster inn...