Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Backdoors SlowStepper Backdoor Malware

SlowStepper Backdoor Malware

Por Mezo em Backdoors, Ameaça Persistente Avançada (APT)
Traduzir Para:
Português

Em 2023, um grupo de Advanced Persistent Threat (APT) alinhado à China, anteriormente não documentado, o PlushDaemon, surgiu no radar da segurança cibernética após um sofisticado ataque à cadeia de suprimentos em um provedor de VPN sul-coreano. Esse ataque envolveu a substituição do instalador legítimo por uma versão comprometida e a implantação de seu implante de assinatura, o SlowStepper.

SlowStepper: Um Backdoor Versátil no Arsenal do PlushDaemon

A central para as operações do PlushDaemon é o SlowStepper, um backdoor rico em recursos que ostenta um kit de ferramentas de mais de 30 componentes. Escrito em C++, Python e Go, esse backdoor serve como o instrumento principal do grupo para espionagem e intrusão. O SlowStepper está em desenvolvimento desde pelo menos 2019, evoluindo por meio de várias iterações, com sua versão mais recente compilada em junho de 2024.

Canais Sequestrados: A Chave para o Acesso Inicial

A estratégia de ataque do PlushDaemon frequentemente explora vulnerabilidades em servidores Web e sequestra canais legítimos de atualização de software. O grupo obteve acesso inicial ao incorporar código inseguro no instalador NSIS de um software VPN distribuído pelo site 'ipany.kr'. O instalador comprometido entregou simultaneamente o software legítimo e o backdoor SlowStepper.

Âmbito do Alvo e Vitimologia

O ataque potencialmente afetou qualquer entidade que baixasse o instalador com armadilha. Evidências mostram tentativas de instalar o software comprometido em redes associadas a uma empresa de semicondutores sul-coreana e um desenvolvedor de software não identificado. As vítimas iniciais foram identificadas no Japão e na China no final de 2023, refletindo o amplo alcance do grupo.

Uma Cadeia de Ataque Complexa: A Implantação do SlowStepper

O ataque começa com a execução do instalador ('IPanyVPNsetup.exe'), que configura a persistência e inicia um carregador ('AutoMsg.dll'). Este carregador inicia a execução do shellcode, extraindo e carregando lateralmente arquivos DLL inseguros usando ferramentas legítimas como 'PerfWatson.exe'. O estágio final envolve a implantação do SlowStepper a partir de um arquivo com nome inócuo ('winlogin.gif').

Uma Versão Reduzida: SlowStepper Lite

Pesquisadores identificaram a variante 'Lite' do SlowStepper usada nesta campanha, que inclui menos recursos do que a versão completa. Apesar disso, ele retém capacidades significativas, permitindo vigilância abrangente e coleta de dados por meio de ferramentas hospedadas no GitCode, um repositório de código chinês.

Comando e Controle: Uma Abordagem Multiestagiada

O SlowStepper emprega um protocolo robusto de Comando e Controle (C&C) multiestágio. Ele primeiro consulta servidores DNS para um registro TXT para buscar endereços IP para comunicação. Se isso falhar, ele reverte para um método secundário, usando uma API para resolver um domínio de fallback.

Espionagem em Escala: As Capacidades Modulares do SlowStepper

O backdoor SlowStepper é equipado com uma ampla gama de ferramentas para coleta de informações, permitindo reunir dados de:

  • Navegadores populares da Web - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, navegador Cốc Cốc, UC Browser, 360 Browser e Mozilla Firefox
  • Capture imagens e grave telas.
  • Colete documentos confidenciais e dados de aplicativos - txt, .doc, .docx, .xls, .xlsx, .ppt e .pptx, bem como informações de aplicativos como LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin e ToDesk.
  • Capture mensagens de bate-papo da plataforma DingTalk.
  • Recupere pacotes Python que não sejam prejudiciais.
  • O FileScanner e o FileScannerAllDisk analisam o sistema para localizar arquivos.
  • getOperaCookie extrai cookies do navegador Opera.
  • A localização identifica o endereço IP do computador e as coordenadas GPS.
  • O qpass coleta informações do navegador Tencent QQ, que pode ser substituído pelo módulo qqpass.
  • qqpass e Webpass reúnem senhas de vários navegadores, incluindo Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome e UC Browser.
  • O ScreenRecord captura gravações de tela.
  • O Telegram extrai informações do Telegram.
  • O WeChat recupera dados da plataforma WeChat.
  • O WirelessKey coleta detalhes da rede sem fio e senhas associadas.

Os recursos exclusivos incluem a capacidade de iniciar um shell personalizado para executar cargas remotas e módulos Python para tarefas específicas.

Foco na Espionagem e no Roubo de Dados

O design modular do backdoor permite coleta de dados direcionada, como mensagens de bate-papo do DingTalk e WeChat, senhas de navegador e dados de localização do sistema. Ferramentas adicionais oferecem suporte à funcionalidade de proxy reverso e downloads de arquivos, aprimorando suas capacidades de espionagem.

Uma Ameaça Crescente: A Evolução do PlushDaemon

O extenso conjunto de ferramentas do PlushDaemon e seu comprometimento com o desenvolvimento contínuo o tornam uma entidade formidável. As operações do grupo desde 2019 destacam um foco claro na criação de ferramentas sofisticadas, posicionando-o como uma ameaça significativa no cenário de segurança cibernética.

Conclusão: Vigilância contra Ameaças Emergentes

Os ataques à cadeia de suprimentos e as capacidades avançadas do PlushDaemon ressaltam a importância da vigilância na comunidade de segurança cibernética. Ao mirar os canais de distribuição de softwares confiáveis, o grupo demonstrou sua capacidade de infiltrar redes e executar campanhas complexas de espionagem.

Tendendo

Mais visto

Carregando...