มัลแวร์แบ็คดอร์ SlowStepper
ในปี 2023 กลุ่ม Advanced Persistent Threat (APT) ที่ไม่เคยเปิดเผยมาก่อนซึ่งสนับสนุนจีนอย่าง PlushDaemon ได้ปรากฏตัวบนเรดาร์ด้านความปลอดภัยทางไซเบอร์หลังจากการโจมตีห่วงโซ่อุปทานที่ซับซ้อนต่อผู้ให้บริการ VPN ในเกาหลีใต้ การโจมตีนี้เกี่ยวข้องกับการแทนที่โปรแกรมติดตั้งที่ถูกต้องด้วยเวอร์ชันที่ถูกบุกรุกและใช้งานโปรแกรมฝังลายเซ็น SlowStepper
สารบัญ
SlowStepper: แบ็คดอร์อเนกประสงค์ในคลังอาวุธของ PlushDaemon
SlowStepper คือแบ็คดอร์ที่อัดแน่นไปด้วยฟีเจอร์มากมายที่ประกอบด้วยชุดเครื่องมือกว่า 30 รายการ ซึ่งเขียนด้วยภาษา C++, Python และ Go และทำหน้าที่เป็นเครื่องมือหลักของกลุ่มสำหรับการสอดแนมและบุกรุก SlowStepper ได้รับการพัฒนาตั้งแต่ปี 2019 เป็นอย่างน้อย โดยพัฒนาผ่านหลายขั้นตอน โดยเวอร์ชันล่าสุดคอมไพล์ในเดือนมิถุนายน 2024
ช่องที่ถูกแฮ็ก: กุญแจสู่การเข้าถึงเบื้องต้น
กลยุทธ์การโจมตีของ PlushDaemon มักจะใช้ประโยชน์จากช่องโหว่ในเซิร์ฟเวอร์เว็บและเข้ายึดช่องทางการอัปเดตซอฟต์แวร์ที่ถูกต้อง กลุ่มนี้เข้าถึงได้ในตอนแรกโดยฝังโค้ดที่ไม่ปลอดภัยลงในโปรแกรมติดตั้ง NSIS ของซอฟต์แวร์ VPN ที่เผยแพร่ผ่านเว็บไซต์ 'ipany.kr' โปรแกรมติดตั้งที่ถูกบุกรุกได้ส่งมอบซอฟต์แวร์ที่ถูกต้องและแบ็คดอร์ SlowStepper พร้อมกัน
ขอบเขตเป้าหมายและเหยื่อ
การโจมตีดังกล่าวอาจส่งผลกระทบต่อหน่วยงานใดก็ตามที่ดาวน์โหลดตัวติดตั้งที่ติดกับมัลแวร์ หลักฐานแสดงให้เห็นความพยายามในการติดตั้งซอฟต์แวร์ที่ถูกบุกรุกในเครือข่ายที่เกี่ยวข้องกับบริษัทเซมิคอนดักเตอร์ของเกาหลีใต้และผู้พัฒนาซอฟต์แวร์ที่ไม่เปิดเผยชื่อ เหยื่อรายแรกได้รับการระบุในญี่ปุ่นและจีนในช่วงปลายปี 2023 ซึ่งสะท้อนให้เห็นถึงการเข้าถึงอย่างแพร่หลายของกลุ่มดังกล่าว
ห่วงโซ่การโจมตีที่ซับซ้อน: การปรับใช้ SlowStepper
การโจมตีเริ่มต้นด้วยการรันโปรแกรมติดตั้ง ('IPanyVPNsetup.exe') ซึ่งจะตั้งค่าการคงอยู่และเปิดโปรแกรมโหลด ('AutoMsg.dll') โปรแกรมโหลดนี้จะเริ่มต้นการรันโค้ดเชลล์ แยกไฟล์และโหลดไฟล์ DLL ที่ไม่ปลอดภัยโดยใช้เครื่องมือที่ถูกต้องตามกฎหมาย เช่น 'PerfWatson.exe' ขั้นตอนสุดท้ายเกี่ยวข้องกับการปรับใช้ SlowStepper จากไฟล์ที่มีชื่อไม่น่าสงสัย ('winlogin.gif')
เวอร์ชันลดขนาด: SlowStepper Lite
นักวิจัยระบุ SlowStepper รุ่น 'Lite' ที่ใช้ในแคมเปญนี้ ซึ่งมีฟีเจอร์น้อยกว่ารุ่นเต็ม ถึงกระนั้นก็ตาม ยังคงมีฟีเจอร์ที่สำคัญอยู่มาก โดยช่วยให้สามารถเฝ้าระวังและรวบรวมข้อมูลได้อย่างครอบคลุมผ่านเครื่องมือที่โฮสต์บน GitCode ซึ่งเป็นคลังรหัสของจีน
การสั่งการและการควบคุม: แนวทางหลายขั้นตอน
SlowStepper ใช้โปรโตคอล Command-and-Control (C&C) หลายขั้นตอนที่มีประสิทธิภาพ โดยจะสอบถามเซิร์ฟเวอร์ DNS เพื่อขอเรกคอร์ด TXT เพื่อดึงที่อยู่ IP สำหรับการสื่อสาร หากวิธีนี้ล้มเหลว ระบบจะเปลี่ยนกลับไปใช้วิธีรองโดยใช้ API เพื่อแก้ไขโดเมนสำรอง
การจารกรรมในระดับขนาดใหญ่: ความสามารถแบบแยกส่วนของ SlowStepper
แบ็คดอร์ SlowStepper มาพร้อมกับเครื่องมือต่างๆ มากมายสำหรับการรวบรวมข้อมูล ทำให้สามารถรวบรวมข้อมูลจาก:
- เบราว์เซอร์ยอดนิยม - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser และ Mozilla Firefox
- จับภาพและบันทึกหน้าจอ
- รวบรวมเอกสารที่ละเอียดอ่อนและข้อมูลแอปพลิเคชัน - txt, .doc, .docx, .xls, .xlsx, .ppt และ .pptx รวมทั้งข้อมูลจากแอปต่างๆ เช่น LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin และ ToDesk
- บันทึกข้อความแชทจากแพลตฟอร์ม DingTalk
- ดึงข้อมูลแพ็คเกจ Python ที่ไม่เป็นอันตราย
- FileScanner และ FileScannerAllDisk วิเคราะห์ระบบเพื่อค้นหาไฟล์
- getOperaCookie ดึงคุกกี้จากเบราว์เซอร์ Opera
- ตำแหน่งระบุที่อยู่ IP และพิกัด GPS ของคอมพิวเตอร์
- qpass รวบรวมข้อมูลจาก Tencent QQ Browser ซึ่งอาจจะถูกแทนที่ด้วยโมดูล qqpass
- qqpass และ Webpass รวบรวมรหัสผ่านจากเบราว์เซอร์ต่างๆ รวมถึง Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome และ UC Browser
- ScreenRecord จับภาพการบันทึกหน้าจอ
- Telegram ดึงข้อมูลจาก Telegram
- WeChat ดึงข้อมูลจากแพลตฟอร์ม WeChat
- WirelessKey รวบรวมรายละเอียดเครือข่ายไร้สายและรหัสผ่านที่เกี่ยวข้อง
คุณลักษณะพิเศษ ได้แก่ ความสามารถในการเปิดใช้งานเชลล์แบบกำหนดเองเพื่อดำเนินการเพย์โหลดระยะไกลและโมดูล Python สำหรับงานเฉพาะ
มุ่งเน้นการจารกรรมและการโจรกรรมข้อมูล
การออกแบบแบบโมดูลาร์ของแบ็คดอร์ช่วยให้สามารถรวบรวมข้อมูลเป้าหมายได้ เช่น ข้อความแชทจาก DingTalk และ WeChat รหัสผ่านเบราว์เซอร์ และข้อมูลตำแหน่งระบบ เครื่องมือเพิ่มเติมรองรับฟังก์ชันพร็อกซีแบบย้อนกลับและการดาวน์โหลดไฟล์ ช่วยเพิ่มความสามารถในการสอดแนม
ภัยคุกคามที่กำลังเติบโต: วิวัฒนาการของ PlushDaemon
ชุดเครื่องมืออันครอบคลุมของ PlushDaemon และความมุ่งมั่นในการพัฒนาอย่างต่อเนื่องทำให้ PlushDaemon เป็นบริษัทที่น่าเกรงขาม การดำเนินงานของกลุ่มตั้งแต่ปี 2019 เน้นย้ำถึงการมุ่งเน้นที่ชัดเจนในการสร้างเครื่องมือที่ซับซ้อน ซึ่งถือเป็นภัยคุกคามที่สำคัญในภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์
บทสรุป: การเฝ้าระวังภัยคุกคามที่เกิดขึ้นใหม่
การโจมตีห่วงโซ่อุปทานและความสามารถขั้นสูงของ PlushDaemon เน้นย้ำถึงความสำคัญของการเฝ้าระวังในชุมชนด้านความปลอดภัยทางไซเบอร์ ด้วยการกำหนดเป้าหมายช่องทางการจำหน่ายซอฟต์แวร์ที่เชื่อถือได้ กลุ่มดังกล่าวได้แสดงให้เห็นถึงความสามารถในการแทรกซึมเครือข่ายและดำเนินการจารกรรมข้อมูลที่ซับซ้อน
