SlowStepper Backdoor Malware

2023లో, దక్షిణ కొరియా VPN ప్రొవైడర్‌పై అధునాతన సరఫరా గొలుసు దాడి తర్వాత సైబర్‌ సెక్యూరిటీ రాడార్‌లో మునుపు డాక్యుమెంట్ చేయని చైనా-అలైన్డ్ అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్, PlushDaemon ఉద్భవించింది. ఈ దాడిలో చట్టబద్ధమైన ఇన్‌స్టాలర్‌ను రాజీపడిన సంస్కరణతో భర్తీ చేయడం మరియు వారి సంతకం ఇంప్లాంట్, స్లోస్టెప్పర్‌ని అమలు చేయడం వంటివి ఉన్నాయి.

స్లోస్టెప్పర్: ప్లష్‌డెమోన్ ఆర్సెనల్‌లో బహుముఖ బ్యాక్‌డోర్

PlushDaemon యొక్క కార్యకలాపాలకు ప్రధానమైనది SlowStepper, ఇది ఫీచర్-రిచ్ బ్యాక్‌డోర్ 30కి పైగా భాగాల టూల్‌కిట్‌ను కలిగి ఉంది. C++, Python మరియు Goలో వ్రాయబడిన ఈ బ్యాక్‌డోర్ గూఢచర్యం మరియు చొరబాటు కోసం సమూహం యొక్క ప్రాథమిక సాధనంగా పనిచేస్తుంది. SlowStepper కనీసం 2019 నుండి అభివృద్ధిలో ఉంది, అనేక పునరావృతాల ద్వారా అభివృద్ధి చెందుతోంది, దాని తాజా వెర్షన్ జూన్ 2024లో సంకలనం చేయబడింది.

హైజాక్ చేయబడిన ఛానెల్‌లు: ప్రారంభ ప్రాప్యతకు కీ

PlushDaemon యొక్క దాడి వ్యూహం తరచుగా వెబ్ సర్వర్‌లలోని దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది మరియు చట్టబద్ధమైన సాఫ్ట్‌వేర్ నవీకరణ ఛానెల్‌లను హైజాక్ చేస్తుంది. 'ipany.kr' వెబ్‌సైట్ ద్వారా పంపిణీ చేయబడిన VPN సాఫ్ట్‌వేర్ యొక్క NSIS ఇన్‌స్టాలర్‌లో అసురక్షిత కోడ్‌ను పొందుపరచడం ద్వారా సమూహం ప్రారంభ ప్రాప్యతను పొందింది. రాజీపడిన ఇన్‌స్టాలర్ ఏకకాలంలో చట్టబద్ధమైన సాఫ్ట్‌వేర్‌ను మరియు స్లోస్టెప్పర్ బ్యాక్‌డోర్‌ను పంపిణీ చేసింది.

టార్గెట్ స్కోప్ మరియు విక్టిమాలజీ

దాడి బూబీ-ట్రాప్డ్ ఇన్‌స్టాలర్‌ను డౌన్‌లోడ్ చేసే ఏదైనా ఎంటిటీని ప్రభావితం చేసే అవకాశం ఉంది. దక్షిణ కొరియా సెమీకండక్టర్ కంపెనీ మరియు గుర్తించబడని సాఫ్ట్‌వేర్ డెవలపర్‌తో అనుబంధించబడిన నెట్‌వర్క్‌లలో రాజీపడిన సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేసే ప్రయత్నాలను సాక్ష్యం చూపిస్తుంది. 2023 చివరిలో జపాన్ మరియు చైనాలో ప్రారంభ బాధితులు గుర్తించబడ్డారు, ఇది సమూహం యొక్క విస్తృత పరిధిని ప్రతిబింబిస్తుంది.

ఎ కాంప్లెక్స్ అటాక్ చైన్: స్లో స్టెప్పర్ డిప్లాయ్‌మెంట్

ఇన్‌స్టాలర్‌ను ('IPanyVPNsetup.exe') అమలు చేయడంతో దాడి ప్రారంభమవుతుంది, ఇది నిలకడను సెటప్ చేస్తుంది మరియు లోడర్‌ను లాంచ్ చేస్తుంది ('AutoMsg.dll'). ఈ లోడర్ 'PerfWatson.exe' వంటి చట్టబద్ధమైన సాధనాలను ఉపయోగించి షెల్‌కోడ్ అమలు, సంగ్రహించడం మరియు సురక్షితం కాని DLL ఫైల్‌లను సైడ్‌లోడింగ్ చేయడం ప్రారంభిస్తుంది. చివరి దశలో స్లోస్టెప్పర్‌ని హానిచేయని పేరున్న ఫైల్ ('winlogin.gif') నుండి అమలు చేయడం జరుగుతుంది.

స్కేల్డ్-డౌన్ వెర్షన్: స్లోస్టెప్పర్ లైట్

ఈ ప్రచారంలో ఉపయోగించిన SlowStepper యొక్క 'లైట్' వేరియంట్‌ను పరిశోధకులు గుర్తించారు, ఇందులో పూర్తి వెర్షన్ కంటే తక్కువ ఫీచర్లు ఉన్నాయి. అయినప్పటికీ, ఇది గణనీయమైన సామర్థ్యాలను కలిగి ఉంది, ఇది చైనీస్ కోడ్ రిపోజిటరీ అయిన GitCodeలో హోస్ట్ చేయబడిన సాధనాల ద్వారా సమగ్ర నిఘా మరియు డేటా సేకరణను అనుమతిస్తుంది.

కమాండ్ అండ్ కంట్రోల్: ఒక మల్టీస్టేజ్ అప్రోచ్

SlowStepper ఒక బలమైన మల్టీస్టేజ్ కమాండ్-అండ్-కంట్రోల్ (C&C) ప్రోటోకాల్‌ను ఉపయోగిస్తుంది. కమ్యూనికేషన్ కోసం IP చిరునామాలను పొందడం కోసం ఇది మొదట TXT రికార్డ్ కోసం DNS సర్వర్‌లను ప్రశ్నిస్తుంది. ఇది విఫలమైతే, ఫాల్‌బ్యాక్ డొమైన్‌ను పరిష్కరించడానికి APIని ఉపయోగించి ఇది ద్వితీయ పద్ధతికి తిరిగి వస్తుంది.

స్కేల్ వద్ద గూఢచర్యం: స్లోస్టెప్పర్ యొక్క మాడ్యులర్ సామర్థ్యాలు

స్లోస్టెప్పర్ బ్యాక్‌డోర్ సమాచారాన్ని సేకరించడానికి విస్తృత శ్రేణి సాధనాలను కలిగి ఉంది, దీని నుండి డేటాను సేకరించడానికి వీలు కల్పిస్తుంది:

• జనాదరణ పొందిన వెబ్ బ్రౌజర్‌లు - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc బ్రౌజర్, UC బ్రౌజర్, 360 బ్రౌజర్ మరియు మొజిల్లా ఫైర్‌ఫాక్స్
• చిత్రాలను క్యాప్చర్ చేయండి మరియు స్క్రీన్‌లను రికార్డ్ చేయండి.
• సున్నితమైన పత్రాలు మరియు అప్లికేషన్ డేటా - txt, .doc, .docx, .xls, .xlsx, .ppt, మరియు .pptx, అలాగే LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou వంటి యాప్‌ల నుండి సమాచారాన్ని సేకరించండి ఒరే సన్‌లాగిన్, మరియు టోడెస్క్.
• DingTalk ప్లాట్‌ఫారమ్ నుండి చాట్ సందేశాలను క్యాప్చర్ చేయండి.
• హానికరం కాని పైథాన్ ప్యాకేజీలను తిరిగి పొందండి.
• FileScanner మరియు FileScannerAllDisk ఫైల్‌లను గుర్తించడానికి సిస్టమ్‌ను విశ్లేషిస్తాయి.
• getOperaCookie Opera బ్రౌజర్ నుండి కుక్కీలను సంగ్రహిస్తుంది.
• స్థానం కంప్యూటర్ యొక్క IP చిరునామా మరియు GPS కోఆర్డినేట్‌లను గుర్తిస్తుంది.
• qpass టెన్సెంట్ QQ బ్రౌజర్ నుండి సమాచారాన్ని సేకరిస్తుంది, దీనిని qqpass మాడ్యూల్ ద్వారా భర్తీ చేయవచ్చు.
• qqpass మరియు Webpass, Google Chrome, Mozilla Firefox, Tencent QQ బ్రౌజర్, 360 Chrome మరియు UC బ్రౌజర్‌తో సహా వివిధ బ్రౌజర్‌ల నుండి పాస్‌వర్డ్‌లను సేకరిస్తాయి.
• స్క్రీన్ రికార్డింగ్ స్క్రీన్ రికార్డింగ్‌లను క్యాప్చర్ చేస్తుంది.
• టెలిగ్రామ్ టెలిగ్రామ్ నుండి సమాచారాన్ని సంగ్రహిస్తుంది.
• WeChat WeChat ప్లాట్‌ఫారమ్ నుండి డేటాను తిరిగి పొందుతుంది.
• WirelessKey వైర్‌లెస్ నెట్‌వర్క్ వివరాలను మరియు అనుబంధిత పాస్‌వర్డ్‌లను సేకరిస్తుంది.

రిమోట్ పేలోడ్‌లు మరియు నిర్దిష్ట పనుల కోసం పైథాన్ మాడ్యూల్‌లను అమలు చేయడానికి అనుకూల షెల్‌ను ప్రారంభించగల సామర్థ్యం ప్రత్యేక లక్షణాలలో ఉన్నాయి.

గూఢచర్యం మరియు డేటా దొంగతనంపై దృష్టి

బ్యాక్‌డోర్ యొక్క మాడ్యులర్ డిజైన్ DingTalk మరియు WeChat నుండి చాట్ సందేశాలు, బ్రౌజర్ పాస్‌వర్డ్‌లు మరియు సిస్టమ్ లొకేషన్ డేటా వంటి లక్ష్య డేటా సేకరణను ప్రారంభిస్తుంది. అదనపు సాధనాలు రివర్స్ ప్రాక్సీ కార్యాచరణ మరియు ఫైల్ డౌన్‌లోడ్‌లకు మద్దతు ఇస్తాయి, దాని గూఢచర్య సామర్థ్యాలను మెరుగుపరుస్తాయి.

ఎ గ్రోయింగ్ థ్రెట్: ప్లష్ డెమోన్స్ ఎవల్యూషన్

PlushDaemon యొక్క విస్తృతమైన టూల్‌సెట్ మరియు కొనసాగుతున్న అభివృద్ధి పట్ల దాని నిబద్ధత దీనిని బలీయమైన సంస్థగా మార్చింది. 2019 నుండి గ్రూప్ కార్యకలాపాలు అధునాతన సాధనాలను రూపొందించడంపై స్పష్టమైన దృష్టిని హైలైట్ చేస్తాయి, సైబర్ సెక్యూరిటీ ల్యాండ్‌స్కేప్‌లో దీనిని ఒక ముఖ్యమైన ముప్పుగా ఉంచాయి.

ముగింపు: ఉద్భవిస్తున్న బెదిరింపులకు వ్యతిరేకంగా విజిలెన్స్

PlushDaemon యొక్క సరఫరా గొలుసు దాడులు మరియు అధునాతన సామర్థ్యాలు సైబర్‌ సెక్యూరిటీ కమ్యూనిటీలో అప్రమత్తత యొక్క ప్రాముఖ్యతను నొక్కి చెబుతున్నాయి. విశ్వసనీయ సాఫ్ట్‌వేర్ పంపిణీ ఛానెల్‌లను లక్ష్యంగా చేసుకోవడం ద్వారా, సమూహం నెట్‌వర్క్‌లలోకి చొరబడి సంక్లిష్టమైన గూఢచర్య ప్రచారాలను అమలు చేయగల సామర్థ్యాన్ని ప్రదర్శించింది.