SlowStepper Backdoor Malware

Noong 2023, lumabas sa cybersecurity radar ang isang dating hindi dokumentado na China-aligned na Advanced Persistent Threat (APT), PlushDaemon, kasunod ng isang sopistikadong pag-atake ng supply chain sa isang provider ng South Korean VPN. Kasama sa pag-atakeng ito ang pagpapalit sa lehitimong installer ng isang nakompromisong bersyon at pag-deploy ng kanilang signature implant, ang SlowStepper.

SlowStepper: Isang Maraming Gamit na Backdoor sa Arsenal ng PlushDaemon

Ang sentro sa mga operasyon ng PlushDaemon ay ang SlowStepper, isang backdoor na mayaman sa tampok na ipinagmamalaki ang isang toolkit na may higit sa 30 mga bahagi. Nakasulat sa C++, Python, at Go, ang backdoor na ito ay nagsisilbing pangunahing instrumento ng grupo para sa paniniktik at panghihimasok. Ang SlowStepper ay nasa pag-unlad mula noong hindi bababa sa 2019, umuusbong sa pamamagitan ng maraming mga pag-ulit, kasama ang pinakabagong bersyon na pinagsama-sama noong Hunyo 2024.

Mga Na-hijack na Channel: Ang Susi sa Paunang Pag-access

Ang diskarte sa pag-atake ng PlushDaemon ay madalas na nagsasamantala ng mga kahinaan sa mga Web server at nag-hijack ng mga lehitimong channel sa pag-update ng software. Ang grupo ay nakakuha ng paunang access sa pamamagitan ng pag-embed ng hindi ligtas na code sa NSIS installer ng isang VPN software na ipinamahagi sa pamamagitan ng website na 'ipany.kr'. Ang nakompromisong installer ay sabay-sabay na naghatid ng lehitimong software at ng SlowStepper backdoor.

Target na Saklaw at Biktimolohiya

Ang pag-atake ay maaaring makaapekto sa anumang entity na nagda-download ng booby-trap na installer. Ipinapakita ng ebidensya ang mga pagtatangkang i-install ang nakompromisong software sa mga network na nauugnay sa isang kumpanya ng semiconductor ng South Korea at isang hindi kilalang software developer. Ang mga unang biktima ay nakilala sa Japan at China noong huling bahagi ng 2023, na nagpapakita ng malawakang pag-abot ng grupo.

Isang Masalimuot na Attack Chain: SlowStepper's Deployment

Ang pag-atake ay nagsisimula sa pagsasagawa ng installer ('IPanyVPNsetup.exe'), na nagse-set up ng persistence at naglulunsad ng loader ('AutoMsg.dll'). Sinisimulan ng loader na ito ang pagpapatupad ng shellcode, pag-extract at pag-sideload ng mga hindi ligtas na DLL file gamit ang mga lehitimong tool tulad ng 'PerfWatson.exe.' Ang huling yugto ay nagsasangkot ng pag-deploy ng SlowStepper mula sa isang innocuously pinangalanang file ('winlogin.gif').

Isang Scaled-Down na Bersyon: SlowStepper Lite

Tinukoy ng mga mananaliksik ang 'Lite' na variant ng SlowStepper na ginamit sa campaign na ito, na kinabibilangan ng mas kaunting feature kaysa sa buong bersyon. Sa kabila nito, nananatili itong makabuluhang mga kakayahan, na nagbibigay-daan sa komprehensibong pagsubaybay at pagkolekta ng data sa pamamagitan ng mga tool na naka-host sa GitCode, isang Chinese code repository.

Command-and-Control: Isang Multistage Approach

Gumagamit ang SlowStepper ng isang matatag na multistage na Command-and-Control (C&C) na protocol. Una itong nagtatanong sa mga DNS server para sa isang tala ng TXT upang makuha ang mga IP address para sa komunikasyon. Kung nabigo ito, babalik ito sa pangalawang paraan, gamit ang isang API upang malutas ang isang fallback na domain.

Espionage at Scale: Modular Capabilities ng SlowStepper

Ang backdoor ng SlowStepper ay nilagyan ng malawak na hanay ng mga tool para sa pagkolekta ng impormasyon, na nagbibigay-daan sa pagkuha ng data mula sa:

• Mga sikat na Web browser - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser, at Mozilla Firefox
• Kumuha ng mga larawan at mag-record ng mga screen.
• Mangolekta ng mga sensitibong dokumento at data ng application - txt, .doc, .docx, .xls, .xlsx, .ppt, at .pptx, pati na rin ang impormasyon mula sa mga app tulad ng LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin, at ToDesk.
• Kumuha ng mga mensahe sa chat mula sa platform ng DingTalk.
• Kunin ang mga pakete ng Python na hindi nakakapinsala.
• Sinusuri ng FileScanner at FileScannerAllDisk ang system upang mahanap ang mga file.
• Kinukuha ng getOperaCookie ang cookies mula sa browser ng Opera.
• Tinutukoy ng lokasyon ang IP address ng computer at mga coordinate ng GPS.
• Kinokolekta ng qpass ang impormasyon mula sa Tencent QQ Browser, na posibleng mapalitan ng qqpass module.
• qqpass at Webpass, mangalap ng mga password mula sa iba't ibang browser, kabilang ang Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome, at UC Browser.
• Kinukuha ng ScreenRecord ang mga pag-record ng screen.
• Kinukuha ng Telegram ang impormasyon mula sa Telegram.
• Kinukuha ng WeChat ang data mula sa WeChat platform.
• Kinokolekta ng WirelessKey ang mga detalye ng wireless network at mga nauugnay na password.

Kasama sa mga natatanging feature ang kakayahang maglunsad ng custom na shell para sa pag-execute ng mga remote payload at Python modules para sa mga partikular na gawain.

Isang Pagtuon sa Espionage at Pagnanakaw ng Data

Ang modular na disenyo ng backdoor ay nagbibigay-daan sa naka-target na pagkolekta ng data, tulad ng mga mensahe sa chat mula sa DingTalk at WeChat, mga password ng browser, at data ng lokasyon ng system. Sinusuportahan ng mga karagdagang tool ang reverse proxy functionality at pag-download ng file, na nagpapahusay sa mga kakayahan nito sa pag-espiya.

Isang Lumalagong Banta: Ebolusyon ng PlushDaemon

Ang malawak na toolset ng PlushDaemon at ang pangako nito sa patuloy na pag-unlad ay ginagawa itong isang kakila-kilabot na entity. Itinatampok ng mga operasyon ng grupo mula noong 2019 ang isang malinaw na pagtuon sa paglikha ng mga sopistikadong tool, na ipinoposisyon ito bilang isang makabuluhang banta sa landscape ng cybersecurity.

Konklusyon: Pag-iingat laban sa mga Umuusbong na Banta

Binibigyang-diin ng mga pag-atake ng supply chain ng PlushDaemon at mga advanced na kakayahan ang kahalagahan ng pagbabantay sa komunidad ng cybersecurity. Sa pamamagitan ng pag-target sa mga pinagkakatiwalaang channel ng pamamahagi ng software, ipinakita ng grupo ang kakayahan nitong makalusot sa mga network at magsagawa ng mga kumplikadong kampanya ng espiya.