Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Arka kapılar SlowStepper Arka Kapı Kötü Amaçlı Yazılımı

SlowStepper Arka Kapı Kötü Amaçlı Yazılımı

Mezo'de Arka kapılar, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:
Türkçe

2023'te, daha önce belgelenmemiş Çin yanlısı Gelişmiş Kalıcı Tehdit (APT) grubu PlushDaemon, Güney Koreli bir VPN sağlayıcısına yönelik karmaşık bir tedarik zinciri saldırısının ardından siber güvenlik radarında belirdi. Bu saldırı, meşru yükleyiciyi tehlikeye atılmış bir sürümle değiştirmeyi ve imza implantları SlowStepper'ı dağıtmayı içeriyordu.

SlowStepper: PlushDaemon’s Arsenal’de Çok Yönlü Bir Arka Kapı

PlushDaemon'un operasyonlarının merkezinde, 30'dan fazla bileşenden oluşan bir araç takımına sahip, özellik açısından zengin bir arka kapı olan SlowStepper yer alır. C++, Python ve Go'da yazılan bu arka kapı, grubun casusluk ve izinsiz giriş için birincil aracı olarak hizmet eder. SlowStepper en az 2019'dan beri geliştirilmekte olup, birden fazla yinelemeden geçerek evrimleşmiştir ve en son sürümü Haziran 2024'te derlenmiştir.

Ele Geçirilen Kanallar: İlk Erişimin Anahtarı

PlushDaemon'un saldırı stratejisi sıklıkla Web sunucularındaki güvenlik açıklarını istismar eder ve meşru yazılım güncelleme kanallarını ele geçirir. Grup, 'ipany.kr' web sitesi üzerinden dağıtılan bir VPN yazılımının NSIS yükleyicisine güvenli olmayan kod yerleştirerek ilk erişimi elde etti. Tehlikeye atılan yükleyici aynı anda meşru yazılımı ve SlowStepper arka kapısını iletti.

Hedef Kapsamı ve Mağduriyet

Saldırı, potansiyel olarak tuzaklı yükleyiciyi indiren herhangi bir varlığı etkiledi. Kanıtlar, tehlikeye atılmış yazılımın Güney Koreli bir yarı iletken şirketi ve kimliği belirsiz bir yazılım geliştiricisiyle ilişkili ağlara yüklenmesine yönelik girişimleri gösteriyor. İlk kurbanlar, grubun geniş çaplı erişimini yansıtan şekilde 2023'ün sonlarında Japonya ve Çin'de tespit edildi.

Karmaşık Bir Saldırı Zinciri: SlowStepper’ın Dağıtımı

Saldırı, kalıcılığı ayarlayan ve bir yükleyici ('AutoMsg.dll') başlatan yükleyiciyi ('IPanyVPNsetup.exe') çalıştırmakla başlar. Bu yükleyici, 'PerfWatson.exe' gibi meşru araçları kullanarak güvenli olmayan DLL dosyalarını ayıklayıp yan yükleme yaparak kabuk kodu yürütmeyi başlatır. Son aşama, SlowStepper'ı zararsız bir şekilde adlandırılmış bir dosyadan ('winlogin.gif') dağıtmayı içerir.

Küçültülmüş Bir Sürüm: SlowStepper Lite

Araştırmacılar, bu kampanyada kullanılan SlowStepper'ın tam sürümden daha az özellik içeren 'Lite' versiyonunu tespit ettiler. Buna rağmen, GitCode'da (Çin kod deposu) barındırılan araçlar aracılığıyla kapsamlı gözetim ve veri toplama olanağı sağlayan önemli yeteneklerini koruyor.

Komuta ve Kontrol: Çok Aşamalı Bir Yaklaşım

SlowStepper sağlam bir çok aşamalı Komuta ve Kontrol (C&C) protokolü kullanır. İlk olarak iletişim için IP adreslerini almak üzere bir TXT kaydı için DNS sunucularını sorgular. Bu başarısız olursa, bir yedek etki alanını çözmek için bir API kullanarak ikincil bir yönteme geri döner.

Ölçekte Casusluk: SlowStepper’ın Modüler Yetenekleri

SlowStepper arka kapısı, şu kaynaklardan veri toplamasına olanak tanıyan çok çeşitli bilgi toplama araçlarıyla donatılmıştır:

  • Popüler Web tarayıcıları - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Chrome tarayıcısı, UC Tarayıcısı, 360 Tarayıcısı ve Mozilla Firefox
  • Görüntüleri yakalayın ve ekranları kaydedin.
  • Hassas belgeleri ve uygulama verilerini (txt, .doc, .docx, .xls, .xlsx, .ppt ve .pptx) ve LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin ve ToDesk gibi uygulamalardan gelen bilgileri toplayın.
  • DingTalk platformundan sohbet mesajlarını yakalayın.
  • Zararlı olmayan Python paketlerini alın.
  • FileScanner ve FileScannerAllDisk dosyaları bulmak için sistemi analiz eder.
  • getOperaCookie, Opera tarayıcısından çerezleri çıkarır.
  • Konum, bilgisayarın IP adresini ve GPS koordinatlarını tanımlar.
  • qpass, muhtemelen qqpass modülü ile değiştirilebilecek olan Tencent QQ Tarayıcısından bilgi toplar.
  • qqpass ve Webpass, Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome ve UC Browser gibi çeşitli tarayıcılardan şifreleri toplar.
  • ScreenRecord ekran kayıtlarını yakalar.
  • Telegram, Telegram'dan bilgi çeker.
  • WeChat, verileri WeChat platformundan alır.
  • WirelessKey kablosuz ağ ayrıntılarını ve ilişkili parolaları toplar.

Benzersiz özellikleri arasında, uzaktan yükleri yürütmek için özel bir kabuk başlatma yeteneği ve belirli görevler için Python modülleri yer alıyor.

Casusluk ve Veri Hırsızlığına Odaklanma

Arka kapının modüler tasarımı, DingTalk ve WeChat'ten gelen sohbet mesajları, tarayıcı parolaları ve sistem konum verileri gibi hedefli veri toplamayı mümkün kılar. Ek araçlar ters proxy işlevselliğini ve dosya indirmelerini destekleyerek casusluk yeteneklerini geliştirir.

Büyüyen Bir Tehdit: PlushDaemon’un Evrimi

PlushDaemon'un kapsamlı araç seti ve devam eden geliştirmeye olan bağlılığı onu zorlu bir varlık haline getiriyor. Grubun 2019'dan bu yana yürüttüğü faaliyetler, onu siber güvenlik alanında önemli bir tehdit olarak konumlandıran karmaşık araçlar yaratmaya yönelik net bir odaklanmayı vurguluyor.

Sonuç: Ortaya Çıkan Tehditlere Karşı Dikkatli Olun

PlushDaemon'un tedarik zinciri saldırıları ve gelişmiş yetenekleri, siber güvenlik topluluğunda uyanıklığın önemini vurgular. Grup, güvenilir yazılım dağıtım kanallarını hedef alarak ağlara sızma ve karmaşık casusluk kampanyaları yürütme yeteneğini göstermiştir.

trend

En çok görüntülenen

Yükleniyor...