Multilicenčná zľavová ponuka
Databáza hrozieb Zadné vrátka SlowStepper Backdoor Malware

SlowStepper Backdoor Malware

Do roku Mezo v roku Zadné vrátka, Pokročilá perzistentná hrozba (APT)
Preložiť do:
Slovenčina

V roku 2023 sa po sofistikovanom útoku dodávateľského reťazca na juhokórejského poskytovateľa VPN objavila na radare kybernetickej bezpečnosti predtým nezdokumentovaná skupina Advanced Persistent Threat (APT) PlushDaemon. Tento útok zahŕňal nahradenie legitímneho inštalátora kompromitovanou verziou a nasadenie ich podpisového implantátu SlowStepper.

SlowStepper: Všestranné zadné vrátka v arzenáli PlushDaemon

Ústredným prvkom operácií PlushDaemon je SlowStepper, zadné vrátka s bohatými funkciami, ktoré sa môže pochváliť súpravou nástrojov s viac ako 30 komponentmi. Tieto zadné dvierka, napísané v C++, Pythone a Go, slúžia ako primárny nástroj skupiny na špionáž a narušenie. SlowStepper sa vyvíja minimálne od roku 2019, pričom sa vyvíja vo viacerých iteráciách, pričom jeho najnovšia verzia bola zostavená v júni 2024.

Unesené kanály: Kľúč k prvému prístupu

Útočná stratégia spoločnosti PlushDaemon často využíva zraniteľné miesta webových serverov a zneužíva legitímne kanály aktualizácie softvéru. Skupina získala počiatočný prístup vložením nebezpečného kódu do inštalačného programu NSIS softvéru VPN distribuovaného prostredníctvom webovej lokality 'ipany.kr'. Kompromitovaný inštalačný program súčasne dodal legitímny softvér a zadné vrátka SlowStepper.

Cieľový rozsah a viktimológia

Útok potenciálne ovplyvnil akúkoľvek entitu sťahujúcu nastražený inštalačný program. Dôkazy ukazujú pokusy o inštaláciu napadnutého softvéru v sieťach spojených s juhokórejskou polovodičovou spoločnosťou a neidentifikovaným vývojárom softvéru. Počiatočné obete boli identifikované v Japonsku a Číne koncom roka 2023, čo odráža široký dosah skupiny.

Komplexný útočný reťazec: SlowStepper's Deployment

Útok začína spustením inštalačného programu ('IPanyVPNsetup.exe'), ktorý nastaví perzistenciu a spustí zavádzač ('AutoMsg.dll'). Tento zavádzač spustí spustenie shell kódu, extrakciu a bočné načítanie nebezpečných súborov DLL pomocou legitímnych nástrojov ako 'PerfWatson.exe.' Posledná fáza zahŕňa nasadenie SlowStepper z neškodne pomenovaného súboru ('winlogin.gif').

Zmenšená verzia: SlowStepper Lite

Výskumníci identifikovali 'Lite' variant SlowStepper použitý v tejto kampani, ktorý obsahuje menej funkcií ako plná verzia. Napriek tomu si zachováva významné schopnosti, ktoré umožňujú komplexný dohľad a zber údajov prostredníctvom nástrojov hostených na GitCode, čínskom úložisku kódu.

Command-and-Control: Viacstupňový prístup

SlowStepper využíva robustný viacstupňový protokol Command-and-Control (C&C). Najprv požiada servery DNS o záznam TXT, aby získal adresy IP na komunikáciu. Ak to zlyhá, vráti sa k sekundárnej metóde pomocou rozhrania API na vyriešenie záložnej domény.

Špionáž v mierke: Modulárne schopnosti SlowStepper

Backdoor SlowStepper je vybavený širokou škálou nástrojov na zhromažďovanie informácií, ktoré mu umožňujú zhromažďovať údaje z:

  • Populárne webové prehliadače – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser a Mozilla Firefox
  • Snímajte obrázky a nahrávajte obrazovky.
  • Zhromažďujte citlivé dokumenty a údaje aplikácií – txt, .doc, .docx, .xls, .xlsx, .ppt a .pptx, ako aj informácie z aplikácií ako LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin a ToDesk.
  • Zachyťte chatové správy z platformy DingTalk.
  • Získajte balíky Python, ktoré nie sú škodlivé.
  • FileScanner a FileScannerAllDisk analyzujú systém, aby našli súbory.
  • getOperaCookie extrahuje súbory cookie z prehliadača Opera.
  • Poloha identifikuje IP adresu počítača a súradnice GPS.
  • qpass zhromažďuje informácie z prehliadača Tencent QQ, ktorý môže byť prípadne nahradený modulom qqpass.
  • qqpass a Webpass, zhromažďujú heslá z rôznych prehliadačov, vrátane Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome a UC Browser.
  • ScreenRecord zachytáva záznamy obrazovky.
  • Telegram získava informácie z telegramu.
  • WeChat získava údaje z platformy WeChat.
  • WirelessKey zhromažďuje podrobnosti o bezdrôtovej sieti a súvisiace heslá.

Jedinečné funkcie zahŕňajú možnosť spustiť vlastný shell na vykonávanie vzdialených užitočných zaťažení a modulov Pythonu pre špecifické úlohy.

Zameranie na špionáž a krádež údajov

Modulárny dizajn zadného vrátka umožňuje cielený zber údajov, ako sú chatové správy z DingTalk a WeChat, heslá prehliadača a údaje o polohe systému. Ďalšie nástroje podporujú funkciu spätného proxy servera a sťahovanie súborov, čím zlepšujú jeho špionážne schopnosti.

Rastúca hrozba: PlushDaemon's Evolution

Rozsiahla súprava nástrojov PlushDaemon a jeho odhodlanie neustáleho vývoja z neho robia impozantnú entitu. Operácie skupiny od roku 2019 zdôrazňujú jasné zameranie na vytváranie sofistikovaných nástrojov, čím sa táto skupina stáva významnou hrozbou v prostredí kybernetickej bezpečnosti.

Záver: Ostražitosť pred vznikajúcimi hrozbami

Útoky na dodávateľský reťazec PlushDaemon a pokročilé schopnosti podčiarkujú dôležitosť ostražitosti v komunite kybernetickej bezpečnosti. Zacielením na dôveryhodné distribučné kanály softvéru skupina preukázala svoju schopnosť infiltrovať siete a vykonávať zložité špionážne kampane.

Trendy

Najviac videné

Vyskakovacie okná „Ak máte 18 rokov, klepnite na...

Falošné varovné správy
25,432
Vyskakovacie okná „Ak máte 18 rokov“ sú typom kontextových reklám, ktoré sa zobrazujú na obrazovke používateľa pri prehliadaní internetu. Tieto kontextové okná môžu byť pre používateľov dosť alarmujúce, pretože ich vyzývajú, aby klikli na tlačidlo „povoliť“, aby mohli pokračovať v používaní webovej stránky, na ktorej sa práve nachádzajú. Tieto kontextové okná sú spojené s takými nežiaducimi...
Načítava...