Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Achterdeurtjes SlowStepper Backdoor-malware

SlowStepper Backdoor-malware

Tegen Mezo in Achterdeurtjes, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:
Nederlands

In 2023 verscheen een voorheen ongedocumenteerde, op China gerichte Advanced Persistent Threat (APT) groep, PlushDaemon, op de cybersecurity radar na een geavanceerde supply chain-aanval op een Zuid-Koreaanse VPN-provider. Deze aanval omvatte het vervangen van de legitieme installer door een gecompromitteerde versie en het implementeren van hun kenmerkende implantaat, SlowStepper.

SlowStepper: een veelzijdige achterdeur in het arsenaal van PlushDaemon

Centraal in de activiteiten van PlushDaemon staat SlowStepper, een backdoor met veel functies en een toolkit van meer dan 30 componenten. Deze backdoor is geschreven in C++, Python en Go en dient als het primaire instrument van de groep voor spionage en inbraak. SlowStepper is sinds ten minste 2019 in ontwikkeling en evolueert via meerdere iteraties, waarbij de nieuwste versie in juni 2024 is gecompileerd.

Gekaapte kanalen: de sleutel tot eerste toegang

PlushDaemon's aanvalsstrategie maakt vaak gebruik van kwetsbaarheden in webservers en kaapt legitieme software-updatekanalen. De groep kreeg aanvankelijk toegang door onveilige code in te sluiten in de NSIS-installer van een VPN-software die werd gedistribueerd via de website 'ipany.kr'. De gecompromitteerde installer leverde tegelijkertijd de legitieme software en de SlowStepper-backdoor.

Doelbereik en victimologie

De aanval had mogelijk invloed op elke entiteit die de boobytrap-installatieprogramma downloadde. Bewijs toont pogingen om de gecompromitteerde software te installeren in netwerken die geassocieerd worden met een Zuid-Koreaans halfgeleiderbedrijf en een niet-geïdentificeerde softwareontwikkelaar. De eerste slachtoffers werden eind 2023 geïdentificeerd in Japan en China, wat de wijdverbreide reikwijdte van de groep weerspiegelt.

Een complexe aanvalsketen: de implementatie van SlowStepper

De aanval begint met het uitvoeren van het installatieprogramma ('IPanyVPNsetup.exe'), dat persistentie instelt en een loader ('AutoMsg.dll') start. Deze loader initieert shellcode-uitvoering, extraheert en sideloadt onveilige DLL-bestanden met behulp van legitieme tools zoals 'PerfWatson.exe'. De laatste fase omvat het implementeren van SlowStepper vanuit een onschuldig benoemd bestand ('winlogin.gif').

Een verkleinde versie: SlowStepper Lite

Onderzoekers identificeerden de 'Lite'-variant van SlowStepper die in deze campagne werd gebruikt, die minder functies bevat dan de volledige versie. Desondanks behoudt het aanzienlijke mogelijkheden, waardoor uitgebreide bewaking en gegevensverzameling mogelijk is via tools die worden gehost op GitCode, een Chinese coderepository.

Command-and-Control: een aanpak in meerdere fasen

SlowStepper gebruikt een robuust multistage Command-and-Control (C&C) protocol. Het vraagt eerst DNS-servers om een TXT-record om IP-adressen op te halen voor communicatie. Als dit mislukt, schakelt het terug naar een secundaire methode, waarbij een API wordt gebruikt om een fallback-domein op te lossen.

Spionage op schaal: modulaire mogelijkheden van SlowStepper

De SlowStepper-backdoor is uitgerust met een breed scala aan hulpmiddelen voor het verzamelen van informatie, waardoor het gegevens kan verzamelen van:

  • Populaire webbrowsers - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser en Mozilla Firefox
  • Maak foto's en neem schermen op.
  • Verzamel gevoelige documenten en applicatiegegevens - txt, .doc, .docx, .xls, .xlsx, .ppt en .pptx, evenals informatie van apps zoals LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin en ToDesk.
  • Vang chatberichten op van het DingTalk-platform.
  • Haal Python-pakketten op die niet schadelijk zijn.
  • FileScanner en FileScannerAllDisk analyseren het systeem om bestanden te lokaliseren.
  • getOperaCookie extraheert cookies uit de Opera-browser.
  • Locatie identificeert het IP-adres en de GPS-coördinaten van de computer.
  • qpass verzamelt informatie van de Tencent QQ Browser, die mogelijk vervangen kan worden door de qqpass module.
  • qqpass en Webpass verzamelen wachtwoorden van verschillende browsers, waaronder Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome en UC Browser.
  • ScreenRecord maakt schermopnames.
  • Telegram haalt informatie uit Telegram.
  • WeChat haalt gegevens op van het WeChat-platform.
  • WirelessKey verzamelt gegevens over het draadloze netwerk en de bijbehorende wachtwoorden.

Unieke functies zijn onder meer de mogelijkheid om een aangepaste shell te starten voor het uitvoeren van externe payloads en Python-modules voor specifieke taken.

Een focus op spionage en gegevensdiefstal

Het modulaire ontwerp van de backdoor maakt gerichte dataverzameling mogelijk, zoals chatberichten van DingTalk en WeChat, browserwachtwoorden en systeemlocatiegegevens. Extra tools ondersteunen reverse proxy-functionaliteit en bestandsdownloads, wat de spionagemogelijkheden ervan vergroot.

Een groeiende bedreiging: de evolutie van PlushDaemon

PlushDaemon's uitgebreide toolset en zijn toewijding aan voortdurende ontwikkeling maken het een formidabele entiteit. De activiteiten van de groep sinds 2019 benadrukken een duidelijke focus op het creëren van geavanceerde tools, waardoor het zich positioneert als een significante bedreiging in het cybersecuritylandschap.

Conclusie: waakzaamheid tegen opkomende bedreigingen

PlushDaemon's supply chain-aanvallen en geavanceerde mogelijkheden onderstrepen het belang van waakzaamheid in de cybersecurity-community. Door vertrouwde softwaredistributiekanalen aan te vallen, heeft de groep aangetoond dat ze netwerken kan infiltreren en complexe spionagecampagnes kan uitvoeren.

Trending

Meest bekeken

Bezig met laden...