Вредоносное ПО SlowStepper Backdoor

В 2023 году ранее недокументированная связанная с Китаем группа Advanced Persistent Threat (APT) PlushDaemon появилась на радаре кибербезопасности после сложной атаки на цепочку поставок южнокорейского VPN-провайдера. Эта атака включала замену легитимного установщика скомпрометированной версией и развертывание их фирменного импланта SlowStepper.

SlowStepper: универсальный бэкдор в арсенале PlushDaemon

Центральным элементом операций PlushDaemon является SlowStepper — многофункциональный бэкдор с набором инструментов из более чем 30 компонентов. Написанный на C++, Python и Go, этот бэкдор служит основным инструментом группы для шпионажа и вторжения. SlowStepper находится в разработке по крайней мере с 2019 года, развиваясь через несколько итераций, а его последняя версия была скомпилирована в июне 2024 года.

Захваченные каналы: ключ к первоначальному доступу

Стратегия атак PlushDaemon часто использует уязвимости веб-серверов и перехватывает легитимные каналы обновления ПО. Группа получила первоначальный доступ, внедрив небезопасный код в установщик NSIS программного обеспечения VPN, распространяемого через веб-сайт 'ipany.kr'. Скомпрометированный установщик одновременно доставлял легитимное ПО и бэкдор SlowStepper.

Область применения и виктимология

Атака потенциально затронула любого субъекта, загружающего установщик-ловушку. Доказательства показывают попытки установить скомпрометированное программное обеспечение в сетях, связанных с южнокорейской полупроводниковой компанией и неопознанным разработчиком программного обеспечения. Первые жертвы были выявлены в Японии и Китае в конце 2023 года, что отражает широкий охват группы.

Сложная цепочка атак: развертывание SlowStepper

Атака начинается с запуска установщика ('IPanyVPNsetup.exe'), который устанавливает постоянство и запускает загрузчик ('AutoMsg.dll'). Этот загрузчик инициирует выполнение шелл-кода, извлекая и загружая небезопасные файлы DLL с помощью легитимных инструментов, таких как 'PerfWatson.exe'. Заключительный этап включает развертывание SlowStepper из безобидно названного файла ('winlogin.gif').

Уменьшенная версия: SlowStepper Lite

Исследователи идентифицировали вариант SlowStepper «Lite», используемый в этой кампании, который включает меньше функций, чем полная версия. Несмотря на это, он сохраняет значительные возможности, позволяя осуществлять комплексное наблюдение и сбор данных с помощью инструментов, размещенных на GitCode, китайском репозитории кода.

Командование и контроль: многоступенчатый подход

SlowStepper использует надежный многоступенчатый протокол Command-and-Control (C&C). Сначала он запрашивает у DNS-серверов запись TXT, чтобы получить IP-адреса для связи. Если это не удается, он возвращается к вторичному методу, используя API для разрешения резервного домена.

Масштабный шпионаж: модульные возможности SlowStepper

Бэкдор SlowStepper оснащен широким набором инструментов для сбора информации, что позволяет ему собирать данные из:

• Популярные веб-браузеры — Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc Browser, UC Browser, 360 Browser и Mozilla Firefox
• Делайте снимки и записывайте экраны.
• Собирайте конфиденциальные документы и данные приложений — txt, .doc, .docx, .xls, .xlsx, .ppt и .pptx, а также информацию из таких приложений, как LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin и ToDesk.
• Захватывайте сообщения чата с платформы DingTalk.
• Извлеките пакеты Python, которые не представляют опасности.
• FileScanner и FileScannerAllDisk анализируют систему для поиска файлов.
• getOperaCookie извлекает файлы cookie из браузера Opera.
• Местоположение определяет IP-адрес компьютера и координаты GPS.
• qpass собирает информацию из браузера Tencent QQ, который, возможно, может быть заменен модулем qqpass.
• qqpass и Webpass собирают пароли из различных браузеров, включая Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome и UC Browser.
• ScreenRecord делает записи экрана.
• Telegram извлекает информацию из Telegram.
• WeChat извлекает данные из платформы WeChat.
• WirelessKey собирает данные о беспроводной сети и связанные с ней пароли.

Уникальные функции включают возможность запуска пользовательской оболочки для выполнения удаленных полезных нагрузок и модулей Python для определенных задач.

В центре внимания — шпионаж и кража данных

Модульная конструкция бэкдора позволяет осуществлять целевой сбор данных, таких как сообщения чата из DingTalk и WeChat, пароли браузера и данные о местоположении системы. Дополнительные инструменты поддерживают функциональность обратного прокси и загрузки файлов, что расширяет возможности шпионажа.

Растущая угроза: эволюция PlushDaemon

Обширный набор инструментов PlushDaemon и его приверженность постоянному развитию делают его грозным образованием. Операции группы с 2019 года подчеркивают четкую направленность на создание сложных инструментов, позиционируя его как серьезную угрозу в ландшафте кибербезопасности.

Заключение: бдительность в отношении возникающих угроз

Атаки на цепочки поставок PlushDaemon и его расширенные возможности подчеркивают важность бдительности в сообществе кибербезопасности. Нацеливаясь на надежные каналы распространения программного обеспечения, группа продемонстрировала свою способность проникать в сети и проводить сложные шпионские кампании.