Попуст за више лиценци
Тхреат Датабасе Бацкдоорс СловСтеппер Бацкдоор злонамерни софтвер

СловСтеппер Бацкдоор злонамерни софтвер

До Mezo. у Бацкдоорс, Напредна трајна претња (АПТ)
Преведи на:
Српски

Године 2023., претходно недокументована група за напредну персистентну претњу (АПТ), која је била усклађена са Кином, ПлусхДаемон, појавила се на радару за сајбер безбедност након софистицираног напада ланца снабдевања на јужнокорејског ВПН провајдера. Овај напад је укључивао замену легитимног инсталатера са компромитованом верзијом и примену њиховог импланта са потписом, СловСтеппер.

СловСтеппер: Свестран бацкдоор у ПлусхДаемоновом арсеналу

Централно за ПлусхДаемон-ове операције је СловСтеппер, бацкдоор богат функцијама који се може похвалити комплетом алата од преко 30 компоненти. Написан на Ц++, Питхон и Го, овај бацкдоор служи као примарни инструмент групе за шпијунажу и упаде. СловСтеппер је у развоју од најмање 2019. године, развијајући се кроз више итерација, а његова најновија верзија састављена је у јуну 2024. године.

Отети канали: кључ за почетни приступ

Стратегија напада ПлусхДаемона често искоришћава рањивости на веб серверима и отима легитимне канале за ажурирање софтвера. Група је добила почетни приступ уграђивањем несигурног кода у НСИС инсталатер ВПН софтвера који се дистрибуира преко веб странице 'ипани.кр'. Компромитовани инсталатер је истовремено испоручио легитимни софтвер и СловСтеппер бацкдоор.

Циљни обим и виктимологија

Напад је потенцијално утицао на било који ентитет који је преузео инсталатер који је заробљен у мину. Докази показују покушаје инсталирања компромитованог софтвера у мреже повезане са јужнокорејском компанијом за производњу полупроводника и неидентификованим програмером софтвера. Прве жртве су идентификоване у Јапану и Кини крајем 2023. године, што одражава широк домет групе.

Сложени ланац напада: СловСтеппер-ова примена

Напад почиње извршавањем инсталационог програма ('ИПаниВПНсетуп.еке'), који поставља постојаност и покреће учитавач ('АутоМсг.длл'). Овај учитавач покреће извршавање схеллцоде-а, издвајање и бочно учитавање несигурних ДЛЛ датотека користећи легитимне алате као што је 'ПерфВатсон.еке.' Последња фаза укључује примену СловСтеппер-а из безопасно именоване датотеке ('винлогин.гиф').

Смањена верзија: СловСтеппер Лите

Истраживачи су идентификовали 'Лите' варијанту СловСтеппер-а која се користи у овој кампањи, која укључује мање функција од пуне верзије. Упркос томе, он задржава значајне могућности, омогућавајући свеобухватан надзор и прикупљање података путем алата који се налазе на ГитЦоде-у, кинеском репозиторијуму кода.

Командовање и контрола: Вишестепени приступ

СловСтеппер користи робустан вишестепени Цомманд-анд-Цонтрол (Ц&Ц) протокол. Прво пита ДНС сервере за ТКСТ запис да би дохватио ИП адресе за комуникацију. Ако ово не успе, враћа се на секундарни метод, користећи АПИ за решавање резервног домена.

Шпијунажа у великим размерама: модуларне могућности СловСтеппер-а

СловСтеппер бацкдоор је опремљен широким спектром алата за прикупљање информација, омогућавајући му да прикупља податке од:

  • Популарни веб претраживачи – Гоогле Цхроме, Мицрософт Едге, Опера, Браве, Вивалди, Цоц Цоц претраживач, УЦ претраживач, 360 претраживач и Мозилла Фирефок
  • Снимите слике и снимајте екране.
  • Прикупљајте осетљиве документе и податке апликација - ткт, .доц, .доцк, .клс, .клск, .ппт и .пптк, као и информације из апликација као што су ЛетсВПН, Тенцент КК, ВеЦхат, Кингсофт ВПС, е2еСофт ВЦам, КуГоу, Ораи Сунлогин и ТоДеск.
  • Снимите поруке ћаскања са ДингТалк платформе.
  • Преузми Питхон пакете који нису штетни.
  • ФилеСцаннер и ФилеСцаннерАллДиск анализирају систем да би лоцирали датотеке.
  • гетОпераЦоокие издваја колачиће из претраживача Опера.
  • Локација идентификује ИП адресу рачунара и ГПС координате.
  • кпасс прикупља информације из Тенцент КК претраживача, који се евентуално могу заменити ккпасс модулом.
  • ккпасс и Вебпасс, прикупљају лозинке из различитих претраживача, укључујући Гоогле Цхроме, Мозилла Фирефок, Тенцент КК претраживач, 360 Цхроме и УЦ претраживач.
  • СцреенРецорд снима снимке екрана.
  • Телеграм издваја информације из Телеграма.
  • ВеЦхат преузима податке са ВеЦхат платформе.
  • ВирелессКеи прикупља детаље о бежичној мрежи и повезане лозинке.

Јединствене карактеристике укључују могућност покретања прилагођене љуске за извршавање удаљених корисних оптерећења и Питхон модула за специфичне задатке.

Фокус на шпијунажу и крађу података

Модуларни дизајн бацкдоор-а омогућава циљано прикупљање података, као што су поруке ћаскања са ДингТалк-а и ВеЦхат-а, лозинке претраживача и подаци о локацији система. Додатни алати подржавају функцију обрнутог проксија и преузимање датотека, побољшавајући његове могућности шпијунаже.

Растућа претња: ПлусхДаемонова еволуција

ПлусхДаемон-ов опсежан скуп алата и његова посвећеност текућем развоју чине га застрашујућим ентитетом. Операције групе од 2019. наглашавају јасан фокус на креирању софистицираних алата, позиционирајући их као значајну претњу у окружењу сајбер безбедности.

Закључак: Пажња против нових претњи

Напади на ланац снабдевања ПлусхДаемона и напредне могућности наглашавају важност будности у заједници сајбер безбедности. Циљајући поуздане канале за дистрибуцију софтвера, група је показала своју способност да се инфилтрира у мреже и спроводи сложене шпијунске кампање.

У тренду

Најгледанији

Искачући прозори „Ако имате 18 година, додирните...

Лажне поруке упозорења
25,432
Искачући прозори „Ако имате 18 година, тапните дозволи“ су врста искачућих огласа који се појављују на екрану корисника када прегледава интернет. Ови искачући прозори могу бити прилично алармантни за кориснике јер их позивају да кликну на дугме „Дозволи“ да би наставили да користе веб локацију на којој се тренутно налазе. Ови искачући прозори су повезани са таквим нежељеним програмима као што...
Учитавање...