SlowStepper Backdoor Malware

În 2023, un grup APT (Advanced Persistent Threat) aliniat la China, nedocumentat, PlushDaemon, a apărut pe radarul securității cibernetice în urma unui atac sofisticat al lanțului de aprovizionare asupra unui furnizor de VPN din Coreea de Sud. Acest atac a implicat înlocuirea programului de instalare legitim cu o versiune compromisă și implementarea implantului lor de semnătură, SlowStepper.

SlowStepper: O ușă din spate versatilă în Arsenalul lui PlushDaemon

Central pentru operațiunile PlushDaemon este SlowStepper, o ușă din spate bogată în funcții, care se mândrește cu un set de instrumente de peste 30 de componente. Scrisă în C++, Python și Go, această ușă din spate servește ca instrument principal al grupului pentru spionaj și intruziune. SlowStepper a fost în dezvoltare din cel puțin 2019, evoluând prin mai multe iterații, cu cea mai recentă versiune compilată în iunie 2024.

Canale deturnate: cheia accesului inițial

Strategia de atac a lui PlushDaemon exploatează frecvent vulnerabilitățile serverelor web și deturnează canalele legitime de actualizare a software-ului. Grupul a obținut accesul inițial prin încorporarea unui cod nesigur în instalatorul NSIS al unui software VPN distribuit prin intermediul site-ului web „ipany.kr”. Instalatorul compromis a livrat simultan software-ul legitim și ușa din spate SlowStepper.

Domeniul țintă și victimologia

Atacul a afectat potențial orice entitate care descarcă programul de instalare prin capcană. Dovezile arată încercări de a instala software-ul compromis în rețele asociate cu o companie de semiconductori din Coreea de Sud și un dezvoltator de software neidentificat. Victimele inițiale au fost identificate în Japonia și China la sfârșitul anului 2023, reflectând răspândirea pe scară largă a grupului.

Un lanț de atac complex: desfășurarea lui SlowStepper

Atacul începe cu executarea programului de instalare („IPanyVPNsetup.exe”), care setează persistența și lansează un încărcător („AutoMsg.dll”). Acest încărcător inițiază execuția shellcode, extragerea și încărcarea laterală a fișierelor DLL nesigure folosind instrumente legitime precum „PerfWatson.exe”. Etapa finală implică implementarea SlowStepper dintr-un fișier numit inofensiv ("winlogin.gif").

O versiune redusă: SlowStepper Lite

Cercetătorii au identificat varianta „Lite” a lui SlowStepper folosită în această campanie, care include mai puține funcții decât versiunea completă. În ciuda acestui fapt, păstrează capabilități semnificative, permițând supravegherea cuprinzătoare și colectarea de date prin instrumente găzduite pe GitCode, un depozit de coduri chinezești.

Comandă și control: o abordare în mai multe etape

SlowStepper folosește un protocol robust de comandă și control (C&C) în mai multe etape. Mai întâi solicită serverelor DNS o înregistrare TXT pentru a obține adrese IP pentru comunicare. Dacă aceasta nu reușește, se revine la o metodă secundară, folosind un API pentru a rezolva un domeniu de rezervă.

Spionajul la scară: Capabilitățile modulare ale lui SlowStepper

Ușa din spate SlowStepper este echipată cu o gamă largă de instrumente pentru colectarea informațiilor, permițându-i să colecteze date de la:

• Browsere web populare - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, browser Cốc Cốc, browser UC, browser 360 și Mozilla Firefox
• Capturați imagini și înregistrați ecrane.
• Colectați documente și date sensibile ale aplicațiilor - txt, .doc, .docx, .xls, .xlsx, .ppt și .pptx, precum și informații din aplicații precum LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin și ToDesk.
• Capturați mesaje de chat de pe platforma DingTalk.
• Preluați pachetele Python care nu sunt dăunătoare.
• FileScanner și FileScannerAllDisk analizează sistemul pentru a localiza fișierele.
• getOperaCookie extrage cookie-uri din browser-ul Opera.
• Locația identifică adresa IP și coordonatele GPS ale computerului.
• qpass colectează informații din browserul Tencent QQ, care poate fi înlocuit de modulul qqpass.
• qqpass și Webpass, adună parole din diferite browsere, inclusiv Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome și UC Browser.
• ScreenRecord captează înregistrări de ecran.
• Telegram extrage informații din Telegram.
• WeChat preia date de pe platforma WeChat.
• WirelessKey colectează detaliile rețelei wireless și parolele asociate.

Caracteristicile unice includ capacitatea de a lansa un shell personalizat pentru executarea de încărcări utile la distanță și module Python pentru sarcini specifice.

Un accent pe spionaj și furtul de date

Designul modular al ușii din spate permite colectarea de date țintită, cum ar fi mesajele de chat de la DingTalk și WeChat, parolele browserului și datele despre locația sistemului. Instrumentele suplimentare acceptă funcționalitatea proxy inversă și descărcări de fișiere, îmbunătățind capacitățile sale de spionaj.

O amenințare în creștere: Evoluția lui PlushDaemon

Setul extins de instrumente PlushDaemon și angajamentul său față de dezvoltarea continuă îl fac o entitate formidabilă. Operațiunile grupului din 2019 evidențiază un accent clar pe crearea de instrumente sofisticate, poziționându-l ca o amenințare semnificativă în peisajul securității cibernetice.

Concluzie: Vigilență împotriva amenințărilor emergente

Atacurile lanțului de aprovizionare și capabilitățile avansate ale PlushDaemon subliniază importanța vigilenței în comunitatea de securitate cibernetică. Prin țintirea canalelor de distribuție de software de încredere, grupul și-a demonstrat capacitatea de a se infiltra în rețele și de a executa campanii complexe de spionaj.