Popust za več licenc
Podjetje o grožnjah Zadnja vrata SlowStepper Backdoor zlonamerna programska oprema

SlowStepper Backdoor zlonamerna programska oprema

Do leta Mezo leta Zadnja vrata, Napredna trajna grožnja (APT)
Prevedi v:
Slovenščina

Leta 2023 se je prej nedokumentirana skupina Advanced Persistent Threat (APT), PlushDaemon, ki je povezana s Kitajsko, pojavila na radarju kibernetske varnosti po prefinjenem napadu v dobavni verigi na južnokorejskega ponudnika VPN. Ta napad je vključeval zamenjavo zakonitega namestitvenega programa z ogroženo različico in uvedbo njihovega podpisnega vsadka SlowStepper.

SlowStepper: vsestranska zadnja vrata v arzenalu PlushDaemona

Osrednji del delovanja PlushDaemona je SlowStepper, stranska vrata z bogatimi funkcijami, ki se ponašajo z naborom orodij z več kot 30 komponentami. Ta stranska vrata, napisana v C++, Python in Go, služijo kot glavni instrument skupine za vohunjenje in vdore. SlowStepper je bil v razvoju vsaj od leta 2019 in se je razvijal skozi več iteracij, zadnja različica pa je bila prevedena junija 2024.

Ugrabljeni kanali: ključ do začetnega dostopa

Strategija napada PlushDaemon pogosto izkorišča ranljivosti v spletnih strežnikih in ugrabi zakonite kanale za posodobitev programske opreme. Skupina je pridobila začetni dostop z vdelavo nevarne kode v namestitveni program NSIS programske opreme VPN, ki se distribuira prek spletnega mesta 'ipany.kr'. Ogroženi namestitveni program je istočasno dostavil zakonito programsko opremo in stranska vrata SlowStepper.

Ciljni obseg in viktimologija

Napad bi lahko prizadel katero koli organizacijo, ki bi prenesla namestitveni program, ki je bil ujet. Dokazi kažejo poskuse namestitve ogrožene programske opreme v omrežja, povezana z južnokorejskim podjetjem za polprevodnike in neznanim razvijalcem programske opreme. Prve žrtve so bile identificirane na Japonskem in Kitajskem konec leta 2023, kar odraža široko razširjenost skupine.

Kompleksna veriga napadov: uvedba SlowStepperja

Napad se začne z izvajanjem namestitvenega programa ('IPanyVPNsetup.exe'), ki nastavi obstojnost in zažene nalagalnik ('AutoMsg.dll'). Ta nalagalnik sproži izvajanje lupinske kode, ekstrahira in stransko naloži nevarne datoteke DLL z uporabo zakonitih orodij, kot je "PerfWatson.exe". Končna faza vključuje uvajanje SlowStepperja iz neškodljivo poimenovane datoteke ('winlogin.gif').

Pomanjšana različica: SlowStepper Lite

Raziskovalci so odkrili 'Lite' različico SlowStepperja, uporabljeno v tej kampanji, ki vključuje manj funkcij kot polna različica. Kljub temu ohranja znatne zmogljivosti, ki omogočajo celovit nadzor in zbiranje podatkov prek orodij, ki gostujejo na GitCode, kitajskem repozitoriju kod.

Poveljevanje in nadzor: večstopenjski pristop

SlowStepper uporablja robusten večstopenjski protokol za ukazovanje in nadzor (C&C). Najprej poizveduje strežnike DNS za zapis TXT, da pridobi naslove IP za komunikacijo. Če to ne uspe, se vrne na sekundarno metodo z uporabo API-ja za razrešitev nadomestne domene.

Vohunjenje v velikem obsegu: modularne zmogljivosti SlowStepperja

Zadnja vrata SlowStepper so opremljena s široko paleto orodij za zbiranje informacij, ki mu omogočajo zbiranje podatkov iz:

  • Priljubljeni spletni brskalniki – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc brskalnik, UC Browser, 360 Browser in Mozilla Firefox
  • Zajemite slike in snemajte zaslone.
  • Zbirajte občutljive dokumente in podatke o aplikacijah – txt, .doc, .docx, .xls, .xlsx, .ppt in .pptx ter informacije iz aplikacij, kot so LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin in ToDesk.
  • Zajemite sporočila klepeta s platforme DingTalk.
  • Pridobite pakete Python, ki niso škodljivi.
  • FileScanner in FileScannerAllDisk analizirata sistem, da poiščeta datoteke.
  • getOperaCookie ekstrahira piškotke iz brskalnika Opera.
  • Lokacija identificira naslov IP računalnika in koordinate GPS.
  • qpass zbira informacije iz brskalnika Tencent QQ, ki ga je mogoče nadomestiti z modulom qqpass.
  • qqpass in Webpass zbirata gesla iz različnih brskalnikov, vključno z Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome in UC Browser.
  • ScreenRecord zajema posnetke zaslona.
  • Telegram pridobiva informacije iz Telegrama.
  • WeChat pridobi podatke s platforme WeChat.
  • WirelessKey zbira podrobnosti o brezžičnem omrežju in povezana gesla.

Edinstvene funkcije vključujejo možnost zagona ukazne lupine po meri za izvajanje oddaljenih uporabnih obremenitev in modulov Python za določene naloge.

Poudarek na vohunjenju in kraji podatkov

Modularna zasnova backdoorja omogoča ciljano zbiranje podatkov, kot so sporočila klepeta iz DingTalk in WeChat, gesla brskalnika in podatki o lokaciji sistema. Dodatna orodja podpirajo funkcijo povratnega proxyja in prenose datotek, kar izboljšuje njegove vohunske zmogljivosti.

Naraščajoča grožnja: PlushDaemon’s Evolution

Zaradi obsežnega nabora orodij PlushDaemona in njegove predanosti nenehnemu razvoju je izjemen subjekt. Delovanje skupine od leta 2019 poudarja jasno osredotočenost na ustvarjanje sofisticiranih orodij, ki jo postavljajo kot pomembno grožnjo na področju kibernetske varnosti.

Zaključek: Previdnost pred nastajajočimi grožnjami

Napadi na dobavno verigo in napredne zmogljivosti PlushDaemona poudarjajo pomen budnosti v skupnosti kibernetske varnosti. Z ciljanjem na zaupanja vredne distribucijske kanale programske opreme je skupina dokazala svojo sposobnost infiltracije v omrežja in izvajanja kompleksnih vohunskih akcij.

V trendu

Najbolj gledan

Nalaganje...