Oferta rabatowa na wiele licencji
Baza danych zagrożeń Tylne drzwi Malware typu backdoor SlowStepper

Malware typu backdoor SlowStepper

Do Mezo w Tylne drzwi, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:
Polski

W 2023 r. na radarze cyberbezpieczeństwa pojawiła się wcześniej nieudokumentowana, powiązana z Chinami grupa Advanced Persistent Threat (APT), PlushDaemon, po wyrafinowanym ataku na łańcuch dostaw na południowokoreańskiego dostawcę VPN. Atak ten polegał na zastąpieniu legalnego instalatora naruszoną wersją i wdrożeniu ich charakterystycznego implantu, SlowStepper.

SlowStepper: Wszechstronne tylne wejście w arsenale PlushDaemona

Centralnym elementem działalności PlushDaemon jest SlowStepper, bogaty w funkcje backdoor, który może pochwalić się zestawem narzędzi składającym się z ponad 30 komponentów. Napisany w C++, Pythonie i Go, ten backdoor służy jako główne narzędzie grupy do szpiegostwa i włamań. SlowStepper jest rozwijany od co najmniej 2019 r., ewoluując przez wiele iteracji, a jego najnowsza wersja została skompilowana w czerwcu 2024 r.

Przejęte kanały: klucz do początkowego dostępu

Strategia ataku PlushDaemon często wykorzystuje luki w zabezpieczeniach serwerów WWW i przejmuje legalne kanały aktualizacji oprogramowania. Grupa uzyskała początkowy dostęp, osadzając niebezpieczny kod w instalatorze NSIS oprogramowania VPN dystrybuowanego za pośrednictwem witryny „ipany.kr”. Zhakowany instalator jednocześnie dostarczał legalne oprogramowanie i tylne wejście SlowStepper.

Zakres docelowy i wiktymologia

Atak potencjalnie dotknął każdego podmiotu pobierającego instalator-pułapkę. Dowody wskazują na próby zainstalowania zainfekowanego oprogramowania w sieciach powiązanych z południowokoreańską firmą półprzewodnikową i niezidentyfikowanym twórcą oprogramowania. Pierwsze ofiary zidentyfikowano w Japonii i Chinach pod koniec 2023 r., co odzwierciedla szeroki zasięg grupy.

Złożony łańcuch ataków: wdrożenie SlowStepper

Atak rozpoczyna się od uruchomienia instalatora („IPanyVPNsetup.exe”), który ustawia trwałość i uruchamia ładowarkę („AutoMsg.dll”). Ta ładowarka inicjuje wykonywanie kodu powłoki, wyodrębniając i ładując niebezpieczne pliki DLL przy użyciu legalnych narzędzi, takich jak „PerfWatson.exe”. Ostatni etap obejmuje wdrożenie SlowStepper z pliku o niewinnej nazwie („winlogin.gif”).

Wersja pomniejszona: SlowStepper Lite

Badacze zidentyfikowali wariant „Lite” SlowSteppera używany w tej kampanii, który zawiera mniej funkcji niż pełna wersja. Mimo to zachowuje znaczące możliwości, umożliwiając kompleksowy nadzór i zbieranie danych za pomocą narzędzi hostowanych w GitCode, chińskim repozytorium kodu.

Dowodzenie i kontrola: podejście wieloetapowe

SlowStepper wykorzystuje solidny wieloetapowy protokół Command-and-Control (C&C). Najpierw wysyła zapytania do serwerów DNS o rekord TXT, aby pobrać adresy IP do komunikacji. Jeśli to się nie powiedzie, powraca do metody drugorzędnej, używając interfejsu API do rozwiązania domeny zapasowej.

Szpiegostwo na dużą skalę: modułowe możliwości SlowStepper

Tylne wejście SlowStepper wyposażone jest w szeroką gamę narzędzi do zbierania informacji, co pozwala mu na zbieranie danych z:

  • Popularne przeglądarki internetowe – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, przeglądarka Cốc Cốc, przeglądarka UC, przeglądarka 360 i Mozilla Firefox
  • Przechwytywanie obrazów i nagrywanie ekranów.
  • Zbieraj poufne dokumenty i dane aplikacji — txt, .doc, .docx, .xls, .xlsx, .ppt i .pptx, a także informacje z aplikacji takich jak LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin i ToDesk.
  • Przechwytuj wiadomości czatu z platformy DingTalk.
  • Pobierz pakiety Pythona, które nie są szkodliwe.
  • FileScanner i FileScannerAllDisk analizują system w celu zlokalizowania plików.
  • getOperaCookie wyodrębnia pliki cookie z przeglądarki Opera.
  • Lokalizacja określa adres IP komputera i współrzędne GPS.
  • qpass zbiera informacje z przeglądarki Tencent QQ Browser, która potencjalnie może zostać zastąpiona modułem qqpass.
  • qqpass i Webpass zbierają hasła z różnych przeglądarek, w tym Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome i UC Browser.
  • ScreenRecord umożliwia nagrywanie ekranu.
  • Telegram pobiera informacje z Telegrama.
  • WeChat pobiera dane z platformy WeChat.
  • WirelessKey zbiera szczegóły dotyczące sieci bezprzewodowych i powiązane hasła.

Wśród unikalnych funkcji można wymienić możliwość uruchomienia niestandardowej powłoki do zdalnego wykonywania ładunków i modułów Pythona dla określonych zadań.

Skupienie się na szpiegostwie i kradzieży danych

Modułowa konstrukcja backdoora umożliwia ukierunkowane zbieranie danych, takich jak wiadomości czatu z DingTalk i WeChat, hasła przeglądarki i dane o lokalizacji systemu. Dodatkowe narzędzia obsługują funkcjonalność odwrotnego proxy i pobieranie plików, zwiększając możliwości szpiegowskie.

Rosnące zagrożenie: ewolucja PlushDaemona

Obszerny zestaw narzędzi PlushDaemon i jego zaangażowanie w ciągły rozwój czynią go potężną jednostką. Działania grupy od 2019 r. podkreślają wyraźne skupienie na tworzeniu zaawansowanych narzędzi, co stawia ją jako poważne zagrożenie w krajobrazie cyberbezpieczeństwa.

Wnioski: Czujność wobec pojawiających się zagrożeń

Ataki na łańcuch dostaw i zaawansowane możliwości PlushDaemon podkreślają znaczenie czujności w społeczności cyberbezpieczeństwa. Poprzez atakowanie zaufanych kanałów dystrybucji oprogramowania grupa wykazała swoją zdolność do infiltracji sieci i przeprowadzania złożonych kampanii szpiegowskich.

Popularne

Najczęściej oglądane

Ładowanie...