SlowStepper Backdoor Malware
2023 ਵਿੱਚ, ਇੱਕ ਦੱਖਣੀ ਕੋਰੀਆਈ VPN ਪ੍ਰਦਾਤਾ 'ਤੇ ਇੱਕ ਆਧੁਨਿਕ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਤੋਂ ਬਾਅਦ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ਿਤ ਚੀਨ-ਅਲਾਈਨਡ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ (APT) ਸਮੂਹ, ਪਲਸ਼ਡੇਮਨ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਰਾਡਾਰ 'ਤੇ ਉਭਰਿਆ। ਇਸ ਹਮਲੇ ਵਿੱਚ ਜਾਇਜ਼ ਇੰਸਟਾਲਰ ਨੂੰ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ ਸੰਸਕਰਣ ਨਾਲ ਬਦਲਣਾ ਅਤੇ ਉਹਨਾਂ ਦੇ ਹਸਤਾਖਰ ਇਮਪਲਾਂਟ, ਸਲੋਸਟੈਪਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
SlowStepper: ਪਲਸ਼ਡੇਮਨ ਦੇ ਆਰਸਨਲ ਵਿੱਚ ਇੱਕ ਬਹੁਮੁਖੀ ਬੈਕਡੋਰ
ਪਲਸ਼ਡੇਮਨ ਦੇ ਓਪਰੇਸ਼ਨਾਂ ਦਾ ਕੇਂਦਰੀ ਸਲੋਸਟੈਪਰ ਹੈ, ਇੱਕ ਵਿਸ਼ੇਸ਼ਤਾ-ਅਮੀਰ ਬੈਕਡੋਰ 30 ਤੋਂ ਵੱਧ ਭਾਗਾਂ ਦੀ ਇੱਕ ਟੂਲਕਿੱਟ ਦਾ ਮਾਣ ਕਰਦਾ ਹੈ। C++, ਪਾਈਥਨ ਅਤੇ ਗੋ ਵਿੱਚ ਲਿਖਿਆ, ਇਹ ਬੈਕਡੋਰ ਜਾਸੂਸੀ ਅਤੇ ਘੁਸਪੈਠ ਲਈ ਸਮੂਹ ਦੇ ਪ੍ਰਾਇਮਰੀ ਸਾਧਨ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। SlowStepper ਘੱਟੋ-ਘੱਟ 2019 ਤੋਂ ਵਿਕਾਸ ਵਿੱਚ ਹੈ, ਜੂਨ 2024 ਵਿੱਚ ਇਸ ਦੇ ਨਵੀਨਤਮ ਸੰਸਕਰਣ ਦੇ ਨਾਲ, ਕਈ ਦੁਹਰਾਓ ਦੁਆਰਾ ਵਿਕਸਿਤ ਹੋ ਰਿਹਾ ਹੈ।
ਹਾਈਜੈਕ ਕੀਤੇ ਚੈਨਲ: ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦੀ ਕੁੰਜੀ
ਪਲਸ਼ਡੇਮਨ ਦੀ ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ ਅਕਸਰ ਵੈੱਬ ਸਰਵਰਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ ਅਤੇ ਜਾਇਜ਼ ਸਾਫਟਵੇਅਰ ਅੱਪਡੇਟ ਚੈਨਲਾਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਦੀ ਹੈ। ਸਮੂਹ ਨੇ ਵੈੱਬਸਾਈਟ 'ipany.kr' ਰਾਹੀਂ ਵੰਡੇ ਗਏ VPN ਸੌਫਟਵੇਅਰ ਦੇ NSIS ਇੰਸਟਾਲਰ ਵਿੱਚ ਅਸੁਰੱਖਿਅਤ ਕੋਡ ਨੂੰ ਏਮਬੈਡ ਕਰਕੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕੀਤੀ। ਸਮਝੌਤਾ ਕੀਤੇ ਇੰਸਟਾਲਰ ਨੇ ਇੱਕੋ ਸਮੇਂ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਅਤੇ ਸਲੋਸਟੈਪਰ ਬੈਕਡੋਰ ਡਿਲੀਵਰ ਕੀਤਾ।
ਟਾਰਗੇਟ ਸਕੋਪ ਅਤੇ ਵਿਕਟਿਮੋਲੋਜੀ
ਹਮਲੇ ਨੇ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਬੂਬੀ-ਟਰੈਪ ਇੰਸਟੌਲਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਵਾਲੀ ਕਿਸੇ ਵੀ ਸੰਸਥਾ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ। ਸਬੂਤ ਇੱਕ ਦੱਖਣੀ ਕੋਰੀਆਈ ਸੈਮੀਕੰਡਕਟਰ ਕੰਪਨੀ ਅਤੇ ਇੱਕ ਅਣਪਛਾਤੇ ਸੌਫਟਵੇਅਰ ਡਿਵੈਲਪਰ ਨਾਲ ਜੁੜੇ ਨੈਟਵਰਕਾਂ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਪੀੜਤਾਂ ਦੀ ਪਛਾਣ 2023 ਦੇ ਅਖੀਰ ਵਿੱਚ ਜਾਪਾਨ ਅਤੇ ਚੀਨ ਵਿੱਚ ਕੀਤੀ ਗਈ ਸੀ, ਜੋ ਸਮੂਹ ਦੀ ਵਿਆਪਕ ਪਹੁੰਚ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।
ਇੱਕ ਗੁੰਝਲਦਾਰ ਅਟੈਕ ਚੇਨ: ਸਲੋਸਟੈਪਰ ਦੀ ਤੈਨਾਤੀ
ਹਮਲਾ ਇੰਸਟੌਲਰ ('IPanyVPNsetup.exe') ਨੂੰ ਚਲਾਉਣ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਜੋ ਸਥਿਰਤਾ ਨੂੰ ਸੈਟ ਅਪ ਕਰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਲੋਡਰ ('AutoMsg.dll') ਨੂੰ ਲਾਂਚ ਕਰਦਾ ਹੈ। ਇਹ ਲੋਡਰ 'PerfWatson.exe' ਵਰਗੇ ਜਾਇਜ਼ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸ਼ੈੱਲਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਐਕਸਟਰੈਕਟ ਕਰਨ ਅਤੇ ਅਸੁਰੱਖਿਅਤ DLL ਫਾਈਲਾਂ ਨੂੰ ਸਾਈਡਲੋਡਿੰਗ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਅੰਤਮ ਪੜਾਅ ਵਿੱਚ ਇੱਕ ਨਿਰਦੋਸ਼ ਨਾਮ ਵਾਲੀ ਫਾਈਲ ('winlogin.gif') ਤੋਂ ਸਲੋਸਟੈਪਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।
ਇੱਕ ਸਕੇਲ-ਡਾਊਨ ਸੰਸਕਰਣ: ਸਲੋਸਟੈਪਰ ਲਾਈਟ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਵਰਤੇ ਗਏ ਸਲੋਸਟੈਪਰ ਦੇ 'ਲਾਈਟ' ਵੇਰੀਐਂਟ ਦੀ ਪਛਾਣ ਕੀਤੀ, ਜਿਸ ਵਿੱਚ ਪੂਰੇ ਸੰਸਕਰਣ ਨਾਲੋਂ ਘੱਟ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸ਼ਾਮਲ ਹਨ। ਇਸਦੇ ਬਾਵਜੂਦ, ਇਹ ਮਹੱਤਵਪੂਰਨ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਦਾ ਹੈ, ਇੱਕ ਚੀਨੀ ਕੋਡ ਰਿਪੋਜ਼ਟਰੀ, GitCode 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਟੂਲਸ ਦੁਆਰਾ ਵਿਆਪਕ ਨਿਗਰਾਨੀ ਅਤੇ ਡਾਟਾ ਇਕੱਤਰ ਕਰਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ: ਇੱਕ ਮਲਟੀਸਟੇਜ ਪਹੁੰਚ
SlowStepper ਇੱਕ ਮਜਬੂਤ ਮਲਟੀਸਟੇਜ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਇਹ ਸੰਚਾਰ ਲਈ IP ਪਤਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ TXT ਰਿਕਾਰਡ ਲਈ DNS ਸਰਵਰਾਂ ਤੋਂ ਪਹਿਲਾਂ ਪੁੱਛਗਿੱਛ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਇਹ ਅਸਫਲ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਇਹ ਇੱਕ ਫਾਲਬੈਕ ਡੋਮੇਨ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਇੱਕ API ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਇੱਕ ਸੈਕੰਡਰੀ ਵਿਧੀ ਵਿੱਚ ਵਾਪਸ ਆ ਜਾਂਦਾ ਹੈ।
ਸਕੇਲ 'ਤੇ ਜਾਸੂਸੀ: ਸਲੋਸਟੈਪਰ ਦੀਆਂ ਮਾਡਯੂਲਰ ਸਮਰੱਥਾਵਾਂ
ਸਲੋਸਟੈਪਰ ਬੈਕਡੋਰ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਟੂਲਸ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨਾਲ ਲੈਸ ਹੈ, ਇਸ ਨੂੰ ਇਸ ਤੋਂ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ:
- ਪ੍ਰਸਿੱਧ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc ਬ੍ਰਾਊਜ਼ਰ, UC ਬ੍ਰਾਊਜ਼ਰ, 360 ਬ੍ਰਾਊਜ਼ਰ, ਅਤੇ ਮੋਜ਼ੀਲਾ ਫਾਇਰਫਾਕਸ
- ਤਸਵੀਰਾਂ ਕੈਪਚਰ ਕਰੋ ਅਤੇ ਸਕਰੀਨਾਂ ਰਿਕਾਰਡ ਕਰੋ।
- ਸੰਵੇਦਨਸ਼ੀਲ ਦਸਤਾਵੇਜ਼ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਡਾਟਾ ਇਕੱਠਾ ਕਰੋ - txt, .doc, .docx, .xls, .xlsx, .ppt, ਅਤੇ .pptx, ਨਾਲ ਹੀ LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, ਵਰਗੀਆਂ ਐਪਾਂ ਤੋਂ ਜਾਣਕਾਰੀ। Oray Sunlogin, ਅਤੇ ToDesk.
- DingTalk ਪਲੇਟਫਾਰਮ ਤੋਂ ਚੈਟ ਸੁਨੇਹਿਆਂ ਨੂੰ ਕੈਪਚਰ ਕਰੋ।
- Python ਪੈਕੇਜ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰੋ ਜੋ ਨੁਕਸਾਨਦੇਹ ਨਹੀਂ ਹਨ।
- FileScanner ਅਤੇ FileScannerAllDisk ਫਾਈਲਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਸਿਸਟਮ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਦੇ ਹਨ।
- getOperaCookie ਓਪੇਰਾ ਬ੍ਰਾਊਜ਼ਰ ਤੋਂ ਕੂਕੀਜ਼ ਕੱਢਦਾ ਹੈ।
- ਸਥਾਨ ਕੰਪਿਊਟਰ ਦੇ IP ਐਡਰੈੱਸ ਅਤੇ GPS ਕੋਆਰਡੀਨੇਟਸ ਦੀ ਪਛਾਣ ਕਰਦਾ ਹੈ।
- qpass Tencent QQ ਬ੍ਰਾਊਜ਼ਰ ਤੋਂ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਜਿਸ ਨੂੰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ qqpass ਮੋਡੀਊਲ ਨਾਲ ਬਦਲਿਆ ਜਾ ਸਕਦਾ ਹੈ।
- qqpass ਅਤੇ Webpass, Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome, ਅਤੇ UC ਬ੍ਰਾਊਜ਼ਰ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਪਾਸਵਰਡ ਇਕੱਠੇ ਕਰਦੇ ਹਨ।
- ScreenRecord ਸਕ੍ਰੀਨ ਰਿਕਾਰਡਿੰਗਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਦਾ ਹੈ।
- ਟੈਲੀਗ੍ਰਾਮ ਟੈਲੀਗ੍ਰਾਮ ਤੋਂ ਜਾਣਕਾਰੀ ਕੱਢਦਾ ਹੈ।
- WeChat WeChat ਪਲੇਟਫਾਰਮ ਤੋਂ ਡਾਟਾ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।
- WirelessKey ਵਾਇਰਲੈੱਸ ਨੈੱਟਵਰਕ ਵੇਰਵੇ ਅਤੇ ਸਬੰਧਿਤ ਪਾਸਵਰਡ ਇਕੱਠੇ ਕਰਦਾ ਹੈ।
ਵਿਲੱਖਣ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਖਾਸ ਕੰਮਾਂ ਲਈ ਰਿਮੋਟ ਪੇਲੋਡ ਅਤੇ ਪਾਈਥਨ ਮੋਡੀਊਲ ਨੂੰ ਚਲਾਉਣ ਲਈ ਇੱਕ ਕਸਟਮ ਸ਼ੈੱਲ ਲਾਂਚ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਸ਼ਾਮਲ ਹੈ।
ਜਾਸੂਸੀ ਅਤੇ ਡਾਟਾ ਚੋਰੀ 'ਤੇ ਫੋਕਸ
ਬੈਕਡੋਰ ਦਾ ਮਾਡਿਊਲਰ ਡਿਜ਼ਾਇਨ ਨਿਸ਼ਾਨਾ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ DingTalk ਅਤੇ WeChat ਤੋਂ ਚੈਟ ਸੁਨੇਹੇ, ਬ੍ਰਾਊਜ਼ਰ ਪਾਸਵਰਡ, ਅਤੇ ਸਿਸਟਮ ਟਿਕਾਣਾ ਡਾਟਾ। ਅਤਿਰਿਕਤ ਟੂਲ ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਕਾਰਜਸ਼ੀਲਤਾ ਅਤੇ ਫਾਈਲ ਡਾਉਨਲੋਡਸ ਦਾ ਸਮਰਥਨ ਕਰਦੇ ਹਨ, ਇਸਦੀ ਜਾਸੂਸੀ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ।
ਇੱਕ ਵਧ ਰਿਹਾ ਖ਼ਤਰਾ: ਪਲਸ਼ਡੇਮਨ ਦਾ ਵਿਕਾਸ
ਪਲਸ਼ਡੇਮਨ ਦਾ ਵਿਆਪਕ ਟੂਲਸੈੱਟ ਅਤੇ ਚੱਲ ਰਹੇ ਵਿਕਾਸ ਲਈ ਇਸਦੀ ਵਚਨਬੱਧਤਾ ਇਸ ਨੂੰ ਇੱਕ ਮਜ਼ਬੂਤ ਹਸਤੀ ਬਣਾਉਂਦੀ ਹੈ। 2019 ਤੋਂ ਸਮੂਹ ਦੇ ਸੰਚਾਲਨ ਆਧੁਨਿਕ ਟੂਲ ਬਣਾਉਣ 'ਤੇ ਸਪੱਸ਼ਟ ਫੋਕਸ ਨੂੰ ਉਜਾਗਰ ਕਰਦੇ ਹਨ, ਇਸ ਨੂੰ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖਤਰੇ ਵਜੋਂ ਸਥਿਤੀ ਦਿੰਦੇ ਹਨ।
ਸਿੱਟਾ: ਉੱਭਰ ਰਹੇ ਖਤਰਿਆਂ ਵਿਰੁੱਧ ਚੌਕਸੀ
ਪਲੱਸਡੈਮਨ ਦੇ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਅਤੇ ਉੱਨਤ ਸਮਰੱਥਾਵਾਂ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਭਾਈਚਾਰੇ ਵਿੱਚ ਚੌਕਸੀ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀਆਂ ਹਨ। ਭਰੋਸੇਮੰਦ ਸੌਫਟਵੇਅਰ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨ ਚੈਨਲਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ, ਸਮੂਹ ਨੇ ਨੈਟਵਰਕਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਅਤੇ ਗੁੰਝਲਦਾਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਪਣੀ ਯੋਗਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ।