Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Dyer të pasme SlowStepper Backdoor Malware

SlowStepper Backdoor Malware

Nga MezoDyer të pasme, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:
Shqip

Në vitin 2023, një grup më parë i padokumentuar i Kërcënimit të Përparuar të Përparuar (APT), PlushDaemon, u shfaq në radarin e sigurisë kibernetike pas një sulmi të sofistikuar të zinxhirit të furnizimit ndaj një ofruesi VPN të Koresë së Jugut. Ky sulm përfshinte zëvendësimin e instaluesit legjitim me një version të komprometuar dhe vendosjen e implantit të tyre të nënshkrimit, SlowStepper.

SlowStepper: Një derë e pasme e gjithanshme në Arsenalin e PlushDaemon

Në qendër të operacioneve të PlushDaemon është SlowStepper, një derë e pasme e pasur me veçori që mburret me një paketë veglash prej mbi 30 komponentësh. E shkruar në C++, Python dhe Go, kjo derë e pasme shërben si instrumenti kryesor i grupit për spiunazh dhe ndërhyrje. SlowStepper ka qenë në zhvillim që të paktën që nga viti 2019, duke u zhvilluar përmes përsëritjeve të shumta, me versionin e tij të fundit të përpiluar në qershor 2024.

Kanalet e rrëmbyera: Çelësi për hyrjen fillestare

Strategjia e sulmit e PlushDaemon shpesh shfrytëzon dobësitë në serverët e uebit dhe rrëmben kanalet legjitime të përditësimit të softuerit. Grupi fitoi aksesin fillestar duke futur kodin e pasigurt në instaluesin NSIS të një softueri VPN të shpërndarë nëpërmjet faqes së internetit 'ipany.kr'. Instaluesi i komprometuar shpërndau njëkohësisht softuerin legjitim dhe derën e pasme të SlowStepper.

Shtrirja e synuar dhe viktimologjia

Sulmi ka prekur potencialisht çdo ent që shkarkon instaluesin e bllokuar. Provat tregojnë përpjekje për të instaluar softuerin e komprometuar në rrjetet e lidhura me një kompani gjysmëpërçuese koreano-jugore dhe një zhvillues të paidentifikuar softueri. Viktimat fillestare u identifikuan në Japoni dhe Kinë në fund të vitit 2023, duke reflektuar shtrirjen e gjerë të grupit.

Një zinxhir sulmi kompleks: vendosja e SlowStepper

Sulmi fillon me ekzekutimin e instaluesit ('IPanyVPNsetup.exe'), i cili konfiguron qëndrueshmërinë dhe lëshon një ngarkues ('AutoMsg.dll'). Ky ngarkues fillon ekzekutimin e kodit shell, nxjerrjen dhe ngarkimin anësor të skedarëve të pasigurt DLL duke përdorur mjete legjitime si 'PerfWatson.exe.' Faza e fundit përfshin vendosjen e SlowStepper nga një skedar me emër të padëmshëm ('winlogin.gif').

Një version i zvogëluar: SlowStepper Lite

Studiuesit identifikuan variantin 'Lite' të SlowStepper të përdorur në këtë fushatë, i cili përfshin më pak veçori sesa versioni i plotë. Pavarësisht kësaj, ai ruan aftësi të rëndësishme, duke mundësuar mbikëqyrje gjithëpërfshirëse dhe mbledhjen e të dhënave përmes mjeteve të vendosura në GitCode, një depo kodi kinez.

Komanda dhe kontrolli: Një qasje shumëfazore

SlowStepper përdor një protokoll të fuqishëm shumëfazor Command-and-Control (C&C). Fillimisht kërkon serverët DNS për një rekord TXT për të marrë adresat IP për komunikim. Nëse kjo dështon, ajo kthehet në një metodë dytësore, duke përdorur një API për të zgjidhur një domen rezervë.

Spiunazhi në shkallë: Aftësitë modulare të SlowStepper

Backdoor SlowStepper është i pajisur me një gamë të gjerë mjetesh për mbledhjen e informacionit, duke i mundësuar asaj të mbledhë të dhëna nga:

  • Shfletuesit e njohur të uebit - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Shfletuesi Cốc Cốc, Shfletuesi UC, Shfletuesi 360 dhe Mozilla Firefox
  • Kapni imazhe dhe regjistroni ekranet.
  • Mblidhni dokumente të ndjeshme dhe të dhëna aplikacioni - txt, .doc, .docx, .xls, .xlsx, .ppt dhe .pptx, si dhe informacione nga aplikacione si LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin dhe ToDesk.
  • Kapni mesazhe bisede nga platforma DingTalk.
  • Merrni paketat Python që nuk janë të dëmshme.
  • FileScanner dhe FileScannerAllDisk analizojnë sistemin për të gjetur skedarët.
  • getOperaCookie nxjerr cookie nga shfletuesi Opera.
  • Vendndodhja identifikon adresën IP të kompjuterit dhe koordinatat GPS.
  • qpass mbledh informacion nga Shfletuesi Tencent QQ, i cili mund të zëvendësohet nga moduli qqpass.
  • qqpass dhe Webpass, mbledhin fjalëkalime nga shfletues të ndryshëm, duke përfshirë Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome dhe UC Browser.
  • ScreenRecord kap regjistrimet e ekranit.
  • Telegram nxjerr informacion nga Telegram.
  • WeChat merr të dhëna nga platforma WeChat.
  • WirelessKey mbledh detajet e rrjetit me valë dhe fjalëkalimet përkatëse.

Karakteristikat unike përfshijnë aftësinë për të nisur një guaskë të personalizuar për ekzekutimin e ngarkesave në distancë dhe moduleve Python për detyra specifike.

Një fokus në spiunazhin dhe vjedhjen e të dhënave

Dizajni modular i derës së pasme mundëson mbledhjen e synuar të të dhënave, të tilla si mesazhet e bisedës nga DingTalk dhe WeChat, fjalëkalimet e shfletuesit dhe të dhënat e vendndodhjes së sistemit. Mjetet shtesë mbështesin funksionalitetin e anasjelltë të përfaqësuesit dhe shkarkimet e skedarëve, duke rritur aftësitë e tij për spiunazh.

Një kërcënim në rritje: Evolucioni i PlushDaemon

Grupi i gjerë i mjeteve të PlushDaemon dhe angazhimi i tij ndaj zhvillimit të vazhdueshëm e bëjnë atë një entitet të frikshëm. Operacionet e grupit që nga viti 2019 nxjerrin në pah një fokus të qartë në krijimin e mjeteve të sofistikuara, duke e pozicionuar atë si një kërcënim të rëndësishëm në peizazhin e sigurisë kibernetike.

Përfundim: Vigjilencë ndaj kërcënimeve në zhvillim

Sulmet e zinxhirit të furnizimit të PlushDaemon dhe aftësitë e avancuara nënvizojnë rëndësinë e vigjilencës në komunitetin e sigurisë kibernetike. Duke synuar kanalet e besueshme të shpërndarjes së softuerit, grupi ka demonstruar aftësinë e tij për të depërtuar në rrjete dhe për të ekzekutuar fushata komplekse spiunazhi.

Në trend

Më e shikuara

Po ngarkohet...