SlowStepper Backdoor Malware

2023 ஆம் ஆண்டில், தென் கொரிய VPN வழங்குநரின் மீது அதிநவீன விநியோகச் சங்கிலித் தாக்குதலைத் தொடர்ந்து சைபர் செக்யூரிட்டி ரேடாரில் முன்னர் ஆவணப்படுத்தப்படாத சீனா-சீரமைக்கப்பட்ட அட்வான்ஸ்டு பெர்சிஸ்டண்ட் த்ரெட் (APT) குழுவான ப்ளஷ் டேமன் தோன்றியது. இந்த தாக்குதலில் முறையான நிறுவியை சமரசம் செய்யப்பட்ட பதிப்பிற்கு மாற்றுவது மற்றும் அவர்களின் கையொப்ப உள்வைப்பு, ஸ்லோஸ்டெப்பர் பயன்படுத்தப்பட்டது.

ஸ்லோ ஸ்டெப்பர்: ப்ளஷ்டீமனின் ஆயுதக் களஞ்சியத்தில் ஒரு பல்துறை கதவு

PlushDaemon இன் செயல்பாடுகளுக்கு மையமானது SlowStepper ஆகும், இது 30 க்கும் மேற்பட்ட கூறுகளைக் கொண்ட கருவித்தொகுப்பைப் பெருமைப்படுத்தும் அம்சம் நிறைந்த பின்கதவு ஆகும். C++, Python மற்றும் Go இல் எழுதப்பட்ட இந்த பின்கதவு உளவு மற்றும் ஊடுருவலுக்கான குழுவின் முதன்மை கருவியாக செயல்படுகிறது. ஸ்லோஸ்டெப்பர் குறைந்தபட்சம் 2019 முதல் வளர்ச்சியில் உள்ளது, அதன் சமீபத்திய பதிப்பு ஜூன் 2024 இல் தொகுக்கப்பட்டது, பல மறு செய்கைகள் மூலம் உருவாகிறது.

கடத்தப்பட்ட சேனல்கள்: ஆரம்ப அணுகலுக்கான திறவுகோல்

PlushDaemon இன் தாக்குதல் உத்தி வலை சேவையகங்களில் உள்ள பாதிப்புகளை அடிக்கடி பயன்படுத்துகிறது மற்றும் முறையான மென்பொருள் புதுப்பிப்பு சேனல்களை கடத்துகிறது. 'ipany.kr' இணையதளத்தில் விநியோகிக்கப்பட்ட VPN மென்பொருளின் NSIS நிறுவியில் பாதுகாப்பற்ற குறியீட்டை உட்பொதிப்பதன் மூலம் குழு ஆரம்ப அணுகலைப் பெற்றது. சமரசம் செய்யப்பட்ட நிறுவி ஒரே நேரத்தில் முறையான மென்பொருளையும் SlowStepper பின்கதவையும் வழங்கியது.

இலக்கு நோக்கம் மற்றும் பாதிப்பு

பூபி-டிராப்ட் நிறுவியைப் பதிவிறக்கும் எந்தவொரு நிறுவனத்தையும் இந்தத் தாக்குதல் பாதிக்கக்கூடும். தென் கொரிய செமிகண்டக்டர் நிறுவனம் மற்றும் அடையாளம் தெரியாத மென்பொருள் உருவாக்குநருடன் தொடர்புடைய நெட்வொர்க்குகளில் சமரசம் செய்யப்பட்ட மென்பொருளை நிறுவுவதற்கான முயற்சிகளை ஆதாரம் காட்டுகிறது. ஆரம்பத்தில் பாதிக்கப்பட்டவர்கள் ஜப்பான் மற்றும் சீனாவில் 2023 இன் பிற்பகுதியில் அடையாளம் காணப்பட்டனர், இது குழுவின் பரவலான அணுகலை பிரதிபலிக்கிறது.

ஒரு சிக்கலான தாக்குதல் சங்கிலி: ஸ்லோஸ்டெப்பரின் வரிசைப்படுத்தல்

நிறுவியை ('IPanyVPNsetup.exe') செயல்படுத்துவதன் மூலம் தாக்குதல் தொடங்குகிறது, இது நிலைத்தன்மையை அமைத்து ஒரு ஏற்றியை ('AutoMsg.dll') துவக்குகிறது. இந்த ஏற்றி, 'PerfWatson.exe' போன்ற முறையான கருவிகளைப் பயன்படுத்தி ஷெல்கோடு செயல்படுத்துதல், பிரித்தெடுத்தல் மற்றும் பாதுகாப்பற்ற DLL கோப்புகளை ஓரங்கட்டுதல். தீங்கற்ற பெயரிடப்பட்ட கோப்பிலிருந்து ('winlogin.gif') ஸ்லோஸ்டெப்பரை வரிசைப்படுத்துவது இறுதி கட்டத்தில் அடங்கும்.

ஒரு அளவிடப்பட்ட-கீழ் பதிப்பு: ஸ்லோஸ்டெப்பர் லைட்

இந்த பிரச்சாரத்தில் பயன்படுத்தப்பட்ட ஸ்லோஸ்டெப்பரின் 'லைட்' மாறுபாட்டை ஆராய்ச்சியாளர்கள் அடையாளம் கண்டுள்ளனர், இதில் முழு பதிப்பை விட குறைவான அம்சங்கள் உள்ளன. இது இருந்தபோதிலும், இது குறிப்பிடத்தக்க திறன்களைத் தக்க வைத்துக் கொண்டுள்ளது, இது சீன குறியீடு களஞ்சியமான GitCode இல் ஹோஸ்ட் செய்யப்பட்ட கருவிகள் மூலம் விரிவான கண்காணிப்பு மற்றும் தரவு சேகரிப்பை செயல்படுத்துகிறது.

கட்டளை மற்றும் கட்டுப்பாடு: பல கட்ட அணுகுமுறை

ஸ்லோஸ்டெப்பர் ஒரு வலுவான மல்டிஸ்டேஜ் கட்டளை மற்றும் கட்டுப்பாடு (C&C) நெறிமுறையைப் பயன்படுத்துகிறது. தகவல்தொடர்புக்கான ஐபி முகவரிகளைப் பெற டிஎக்ஸ்டி பதிவுக்காக இது முதலில் டிஎன்எஸ் சேவையகங்களை வினவுகிறது. இது தோல்வியுற்றால், அது ஒரு ஃபால்பேக் டொமைனைத் தீர்க்க API ஐப் பயன்படுத்தி இரண்டாம் முறைக்கு மாற்றியமைக்கும்.

அளவுகோலில் உளவு: ஸ்லோஸ்டெப்பரின் மட்டு திறன்கள்

SlowStepper பின்கதவு தகவல்களைச் சேகரிப்பதற்கான பரந்த அளவிலான கருவிகளைக் கொண்டுள்ளது, இது இதிலிருந்து தரவைச் சேகரிக்க உதவுகிறது:

• பிரபலமான இணைய உலாவிகள் - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser மற்றும் Mozilla Firefox
• படங்கள் மற்றும் பதிவுத் திரைகளைப் பிடிக்கவும்.
• முக்கிய ஆவணங்கள் மற்றும் பயன்பாட்டுத் தரவைச் சேகரிக்கவும் - txt, .doc, .docx, .xls, .xlsx, .ppt, மற்றும் .pptx, அத்துடன் LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou போன்ற பயன்பாடுகளிலிருந்து தகவல் Oray Sunlogin, மற்றும் ToDesk.
• DingTalk தளத்திலிருந்து அரட்டை செய்திகளைப் பிடிக்கவும்.
• தீங்கு விளைவிக்காத பைதான் தொகுப்புகளை மீட்டெடுக்கவும்.
• FileScanner மற்றும் FileScannerAllDisk ஆகியவை கோப்புகளைக் கண்டறிய கணினியை பகுப்பாய்வு செய்கின்றன.
• getOperaCookie ஓபரா உலாவியில் இருந்து குக்கீகளை பிரித்தெடுக்கிறது.
• கணினியின் ஐபி முகவரி மற்றும் ஜிபிஎஸ் ஒருங்கிணைப்புகளை இருப்பிடம் அடையாளம் காட்டுகிறது.
• qpass ஆனது Tencent QQ உலாவியில் இருந்து தகவல்களை சேகரிக்கிறது, இது qqpass தொகுதியால் மாற்றப்படலாம்.
• qqpass மற்றும் Webpass, Google Chrome, Mozilla Firefox, Tencent QQ உலாவி, 360 Chrome மற்றும் UC உலாவி உட்பட பல்வேறு உலாவிகளில் இருந்து கடவுச்சொற்களை சேகரிக்கின்றன.
• ஸ்கிரீன் ரெக்கார்ட் திரைப் பதிவுகளைப் பிடிக்கிறது.
• டெலிகிராம் டெலிகிராமிலிருந்து தகவல்களைப் பிரித்தெடுக்கிறது.
• WeChat, WeChat இயங்குதளத்திலிருந்து தரவை மீட்டெடுக்கிறது.
• WirelessKey வயர்லெஸ் நெட்வொர்க் விவரங்கள் மற்றும் தொடர்புடைய கடவுச்சொற்களை சேகரிக்கிறது.

தனித்துவமான அம்சங்களில் ரிமோட் பேலோடுகளை இயக்குவதற்கான தனிப்பயன் ஷெல் மற்றும் குறிப்பிட்ட பணிகளுக்கான பைதான் தொகுதிகள் ஆகியவை அடங்கும்.

உளவு மற்றும் தரவு திருட்டு மீது கவனம்

பின்கதவின் மட்டு வடிவமைப்பு DingTalk மற்றும் WeChat இலிருந்து அரட்டை செய்திகள், உலாவி கடவுச்சொற்கள் மற்றும் கணினி இருப்பிடத் தரவு போன்ற இலக்கு தரவு சேகரிப்பை செயல்படுத்துகிறது. கூடுதல் கருவிகள் ரிவர்ஸ் ப்ராக்ஸி செயல்பாடு மற்றும் கோப்பு பதிவிறக்கங்களை ஆதரிக்கிறது, அதன் உளவு திறன்களை மேம்படுத்துகிறது.

வளர்ந்து வரும் அச்சுறுத்தல்: ப்ளஷ் டீமனின் பரிணாமம்

PlushDaemon இன் விரிவான கருவித்தொகுப்பு மற்றும் தற்போதைய வளர்ச்சிக்கான அதன் அர்ப்பணிப்பு ஆகியவை அதை ஒரு வலிமையான நிறுவனமாக ஆக்குகின்றன. 2019 முதல் குழுவின் செயல்பாடுகள் அதிநவீன கருவிகளை உருவாக்குவதில் தெளிவான கவனம் செலுத்தி, இணைய பாதுகாப்பு நிலப்பரப்பில் ஒரு குறிப்பிடத்தக்க அச்சுறுத்தலாக நிலைநிறுத்துகிறது.

முடிவு: வெளிவரும் அச்சுறுத்தல்களுக்கு எதிரான விழிப்புணர்ச்சி

PlushDaemon இன் விநியோகச் சங்கிலி தாக்குதல்கள் மற்றும் மேம்பட்ட திறன்கள் இணைய பாதுகாப்பு சமூகத்தில் விழிப்புணர்வின் முக்கியத்துவத்தை அடிக்கோடிட்டுக் காட்டுகிறது. நம்பகமான மென்பொருள் விநியோக சேனல்களை குறிவைப்பதன் மூலம், குழு நெட்வொர்க்குகளில் ஊடுருவி, சிக்கலான உளவுப் பிரச்சாரங்களைச் செயல்படுத்தும் திறனை நிரூபித்துள்ளது.