Rabattoffert för flera licenser
Hotdatabas Bakdörrar SlowStepper Backdoor Malware

SlowStepper Backdoor Malware

Med Mezo år Bakdörrar, Advanced Persistent Threat (APT)
Översätt till:
Svenska

2023 dök en tidigare odokumenterad Kina-ansluten Advanced Persistent Threat (APT) grupp, PlushDaemon, upp på cybersäkerhetsradarn efter en sofistikerad leveranskedjasattack mot en sydkoreansk VPN-leverantör. Denna attack innebar att ersätta det legitima installationsprogrammet med en komprometterad version och distribuera deras signaturimplantat, SlowStepper.

SlowStepper: En mångsidig bakdörr i PlushDaemon's Arsenal

Centralt för PlushDaemons verksamhet är SlowStepper, en funktionsrik bakdörr med en verktygslåda med över 30 komponenter. Denna bakdörr är skriven i C++, Python och Go och fungerar som gruppens primära instrument för spionage och intrång. SlowStepper har varit under utveckling sedan åtminstone 2019 och utvecklats genom flera iterationer, med sin senaste version sammanställd i juni 2024.

Kapade kanaler: Nyckeln till första åtkomst

PlushDaemons attackstrategi utnyttjar ofta sårbarheter i webbservrar och kapar legitima programuppdateringskanaler. Gruppen fick första åtkomst genom att bädda in osäker kod i NSIS-installationsprogrammet för en VPN-mjukvara distribuerad via webbplatsen 'ipany.kr'. Det komprometterade installationsprogrammet levererade samtidigt den legitima programvaran och SlowStepper-bakdörren.

Target Scope och Victimology

Attacken påverkade potentiellt alla enheter som laddade ner installationsprogrammet. Bevis visar försök att installera den komprometterade programvaran i nätverk associerade med ett sydkoreanskt halvledarföretag och en oidentifierad mjukvaruutvecklare. De första offren identifierades i Japan och Kina i slutet av 2023, vilket återspeglar gruppens utbredda räckvidd.

En komplex attackkedja: SlowStepper's Deployment

Attacken börjar med att man kör installationsprogrammet ('IPanyVPNsetup.exe'), som ställer in persistens och startar en loader ('AutoMsg.dll'). Den här laddaren initierar exekvering av skalkod, extrahering och sidladdning av osäkra DLL-filer med legitima verktyg som "PerfWatson.exe". Det sista steget involverar att distribuera SlowStepper från en fil som har ett ofarligt namn ('winlogin.gif').

En nedskalad version: SlowStepper Lite

Forskare identifierade "Lite"-varianten av SlowStepper som används i denna kampanj, som innehåller färre funktioner än den fullständiga versionen. Trots detta behåller den betydande möjligheter, vilket möjliggör omfattande övervakning och datainsamling genom verktyg som finns på GitCode, ett kinesiskt kodlager.

Kommando-och-kontroll: En flerstegsmetod

SlowStepper använder ett robust flerstegs Command-and-Control-protokoll (C&C). Den frågar först DNS-servrar efter en TXT-post för att hämta IP-adresser för kommunikation. Om detta misslyckas återgår den till en sekundär metod, med hjälp av ett API för att lösa en reservdomän.

Spionage i skala: SlowSteppers modulära egenskaper

SlowStepper-bakdörren är utrustad med ett brett utbud av verktyg för att samla in information, vilket gör att den kan samla in data från:

  • Populära webbläsare – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc webbläsare, UC Browser, 360 Browser och Mozilla Firefox
  • Ta bilder och spela in skärmar.
  • Samla in känsliga dokument och programdata – txt, .doc, .docx, .xls, .xlsx, .ppt och .pptx, samt information från appar som LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin och ToDesk.
  • Fånga chattmeddelanden från DingTalk-plattformen.
  • Hämta Python-paket som inte är skadliga.
  • FileScanner och FileScannerAllDisk analyserar systemet för att hitta filer.
  • getOperaCookie extraherar cookies från Opera-webbläsaren.
  • Plats identifierar datorns IP-adress och GPS-koordinater.
  • qpass samlar in information från Tencent QQ Browser, som eventuellt kan ersättas av qqpass-modulen.
  • qqpass och Webpass, samla in lösenord från olika webbläsare, inklusive Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome och UC Browser.
  • ScreenRecord fångar skärminspelningar.
  • Telegram extraherar information från Telegram.
  • WeChat hämtar data från WeChat-plattformen.
  • WirelessKey samlar in detaljer om det trådlösa nätverket och tillhörande lösenord.

Unika funktioner inkluderar möjligheten att lansera ett anpassat skal för exekvering av fjärrnyttolaster och Python-moduler för specifika uppgifter.

Fokus på spionage och datastöld

Bakdörrens modulära design möjliggör riktad datainsamling, såsom chattmeddelanden från DingTalk och WeChat, webbläsarlösenord och systemplatsdata. Ytterligare verktyg stöder omvänd proxyfunktion och filnedladdningar, vilket förbättrar spionagekapaciteten.

A Growing Threat: PlushDaemon's Evolution

PlushDaemons omfattande verktygsuppsättning och dess engagemang för pågående utveckling gör det till en formidabel enhet. Koncernens verksamhet sedan 2019 belyser ett tydligt fokus på att skapa sofistikerade verktyg, vilket positionerar det som ett betydande hot i cybersäkerhetslandskapet.

Slutsats: Vaksamhet mot nya hot

PlushDaemons supply chain-attacker och avancerade funktioner understryker vikten av vaksamhet i cybersäkerhetsgemenskapen. Genom att rikta in sig på pålitliga distributionskanaler för mjukvara har gruppen visat sin förmåga att infiltrera nätverk och genomföra komplexa spionagekampanjer.

Trendigt

Mest sedda

Läser in...