SlowStepper ब्याकडोर मालवेयर

2023 मा, दक्षिण कोरियाली VPN प्रदायकमा परिष्कृत आपूर्ति श्रृंखला आक्रमण पछि साइबरसुरक्षा रडारमा पहिले नै कागजात नभएको चीन-संबद्ध उन्नत पर्सिस्टेन्ट थ्रेट (APT) समूह, PlushDaemon देखा पर्‍यो। यो आक्रमणले वैध स्थापनाकर्तालाई सम्झौता गरिएको संस्करणको साथ प्रतिस्थापन गर्ने र तिनीहरूको हस्ताक्षर प्रत्यारोपण, स्लोस्टेपर तैनात गर्ने समावेश थियो।

SlowStepper: PlushDaemon's Arsenal मा बहुमुखी ब्याकडोर

PlushDaemon को सञ्चालनको केन्द्र SlowStepper हो, 30 भन्दा बढी कम्पोनेन्टहरूको टुलकिटको घमण्ड गर्ने सुविधायुक्त ब्याकडोर। C++, Python, र Go मा लेखिएको, यो ब्याकडोरले जासुसी र घुसपैठको लागि समूहको प्राथमिक साधनको रूपमा कार्य गर्दछ। SlowStepper कम्तिमा 2019 देखि विकासमा छ, धेरै पुनरावृत्तिहरू मार्फत विकसित हुँदै, जुन 2024 मा कम्पाइल गरिएको यसको नवीनतम संस्करणको साथ।

अपहरण गरिएका च्यानलहरू: प्रारम्भिक पहुँचको कुञ्जी

PlushDaemon को आक्रमण रणनीतिले अक्सर वेब सर्भरहरूमा कमजोरीहरूको शोषण गर्छ र वैध सफ्टवेयर अपडेट च्यानलहरू हाइज्याक गर्दछ। समूहले वेबसाइट 'ipany.kr' मार्फत वितरण गरिएको VPN सफ्टवेयरको NSIS स्थापनाकर्तामा असुरक्षित कोड इम्बेड गरेर प्रारम्भिक पहुँच प्राप्त गर्यो। सम्झौता गरिएको स्थापनाकर्ताले एकै साथ वैध सफ्टवेयर र स्लोस्टेपर ब्याकडोर डेलिभर गर्यो।

लक्ष्य दायरा र पीडित विज्ञान

आक्रमणले सम्भावित रूपमा बूबी-ट्र्याप इन्स्टलर डाउनलोड गर्ने कुनै पनि संस्थालाई असर गर्यो। प्रमाणले दक्षिण कोरियाली अर्धचालक कम्पनी र एक अज्ञात सफ्टवेयर विकासकर्तासँग सम्बन्धित नेटवर्कहरूमा सम्झौता गरिएको सफ्टवेयर स्थापना गर्ने प्रयासहरू देखाउँदछ। प्रारम्भिक पीडितहरू 2023 को अन्तमा जापान र चीनमा पहिचान गरिएको थियो, जसले समूहको व्यापक पहुँचलाई प्रतिबिम्बित गर्दछ।

एक जटिल आक्रमण श्रृंखला: SlowStepper को तैनाती

आक्रमण स्थापनाकर्ता ('IPanyVPNsetup.exe') कार्यान्वयन गरेर सुरु हुन्छ, जसले दृढता सेट अप गर्छ र लोडर ('AutoMsg.dll') सुरु गर्छ। यो लोडरले 'PerfWatson.exe' जस्ता वैध उपकरणहरू प्रयोग गरेर असुरक्षित DLL फाइलहरू निकाल्ने र साइडलोड गर्ने शेलकोड कार्यान्वयन सुरु गर्छ। अन्तिम चरणमा निर्दोष नामको फाइल ('winlogin.gif') बाट SlowStepper डिप्लोइ गर्ने समावेश छ।

स्केल गरिएको-डाउन संस्करण: स्लोस्टेपर लाइट

अन्वेषकहरूले यस अभियानमा प्रयोग गरिएको स्लोस्टेपरको 'लाइट' संस्करण पहिचान गरे, जसमा पूर्ण संस्करण भन्दा कम सुविधाहरू समावेश छन्। यसका बावजुद, यसले चिनियाँ कोड रिपोजिटरी GitCode मा होस्ट गरिएका उपकरणहरू मार्फत व्यापक निगरानी र डेटा सङ्कलन सक्षम पार्दै महत्त्वपूर्ण क्षमताहरू कायम राख्छ।

आदेश र नियन्त्रण: एक बहु-चरण दृष्टिकोण

SlowStepper ले एक बलियो मल्टिस्टेज कमाण्ड-एण्ड-कन्ट्रोल (C&C) प्रोटोकल प्रयोग गर्दछ। यसले संचारको लागि IP ठेगानाहरू ल्याउन TXT रेकर्डको लागि DNS सर्भरहरू सोध्छ। यदि यो असफल भयो भने, यो एक फलब्याक डोमेन समाधान गर्न API को प्रयोग गरी माध्यमिक विधिमा फर्किन्छ।

स्केलमा जासूसी: स्लोस्टेपरको मोड्युलर क्षमताहरू

SlowStepper ब्याकडोर जानकारी सङ्कलन गर्नका लागि उपकरणहरूको विस्तृत एरेसँग सुसज्जित छ, यसलाई निम्नबाट डेटा सङ्कलन गर्न सक्षम पार्दै:

• लोकप्रिय वेब ब्राउजरहरू - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc ब्राउजर, UC ब्राउजर, 360 ब्राउजर, र मोजिला फायरफक्स
• छविहरू र रेकर्ड स्क्रिनहरू खिच्नुहोस्।
• संवेदनशील कागजातहरू र अनुप्रयोग डेटा सङ्कलन गर्नुहोस् - txt, .doc, .docx, .xls, .xlsx, .ppt, र .pptx, साथै LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, जस्ता एपहरूबाट जानकारी। Oray Sunlogin, र ToDesk।
• DingTalk प्लेटफर्मबाट च्याट सन्देशहरू क्याप्चर गर्नुहोस्।
• Python प्याकेजहरू पुन: प्राप्त गर्नुहोस् जुन हानिकारक छैन।
• FileScanner र FileScannerAllDisk फाइलहरू पत्ता लगाउन प्रणालीको विश्लेषण गर्दछ।
• getOperaCookie ले ओपेरा ब्राउजरबाट कुकीहरू निकाल्छ।
• स्थानले कम्प्युटरको IP ठेगाना र GPS समन्वयहरू पहिचान गर्दछ।
• qpass ले Tencent QQ ब्राउजरबाट जानकारी सङ्कलन गर्दछ, जुन सम्भवतः qqpass मोड्युलद्वारा प्रतिस्थापन गर्न सकिन्छ।
• qqpass र Webpass, Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome, र UC Browser सहित विभिन्न ब्राउजरहरूबाट पासवर्डहरू सङ्कलन गर्दछ।
• ScreenRecord स्क्रिन रेकर्डिङ कब्जा।
• टेलिग्रामले टेलिग्रामबाट जानकारी निकाल्छ।
• WeChat ले WeChat प्लेटफर्मबाट डाटा प्राप्त गर्छ।
• WirelessKey ले ताररहित सञ्जाल विवरणहरू र सम्बन्धित पासवर्डहरू सङ्कलन गर्दछ।

विशिष्ट कार्यहरूको लागि रिमोट पेलोडहरू र पाइथन मोड्युलहरू कार्यान्वयन गर्नको लागि अनुकूलन शेल सुरु गर्ने क्षमता अद्वितीय सुविधाहरू समावेश गर्दछ।

जासूसी र डाटा चोरीमा फोकस

ब्याकडोरको मोड्युलर डिजाइनले लक्षित डाटा सङ्कलनलाई सक्षम बनाउँछ, जस्तै DingTalk र WeChat, ब्राउजर पासवर्डहरू, र प्रणाली स्थान डेटाबाट च्याट सन्देशहरू। अतिरिक्त उपकरणहरूले रिभर्स प्रोक्सी कार्यक्षमता र फाइल डाउनलोडहरूलाई समर्थन गर्दछ, यसको जासुसी क्षमताहरू बढाउँदै।

बढ्दो खतरा: प्लशडेमनको विकास

PlushDaemon को व्यापक उपकरणसेट र निरन्तर विकासको लागि यसको प्रतिबद्धताले यसलाई एक शक्तिशाली संस्था बनाउँछ। 2019 देखि समूहको सञ्चालनहरूले परिष्कृत उपकरणहरू सिर्जना गर्नमा स्पष्ट फोकसलाई हाइलाइट गर्दछ, यसलाई साइबर सुरक्षा परिदृश्यमा महत्त्वपूर्ण खतराको रूपमा राख्छ।

निष्कर्ष: उदीयमान खतराहरू विरुद्ध सतर्कता

PlushDaemon को आपूर्ति श्रृंखला आक्रमण र उन्नत क्षमताहरूले साइबर सुरक्षा समुदायमा सतर्कताको महत्त्वलाई जोड दिन्छ। विश्वसनीय सफ्टवेयर वितरण च्यानलहरूलाई लक्षित गरेर, समूहले नेटवर्कहरू घुसपैठ गर्ने र जटिल जासुसी अभियानहरू कार्यान्वयन गर्ने क्षमता प्रदर्शन गरेको छ।