Зловмисне програмне забезпечення SlowStepper Backdoor

У 2023 році незадокументована група PlushDaemon, пов’язана з Китаєм, з’явилася на радарі кібербезпеки після складної атаки на ланцюжок поставок на південнокорейського постачальника VPN. Ця атака передбачала заміну легітимного інсталятора скомпрометованою версією та розгортання їх фірмового імпланта SlowStepper.

SlowStepper: універсальний бекдор в арсеналі PlushDaemon

Центральне місце в діяльності PlushDaemon займає SlowStepper, багатофункціональний бекдор, який може похвалитися набором інструментів із понад 30 компонентів. Написаний на C++, Python і Go, цей бекдор служить основним інструментом групи для шпигунства та вторгнення. SlowStepper розробляється принаймні з 2019 року, еволюціонуючи через кілька ітерацій, а його остання версія була скомпільована в червні 2024 року.

Вкрадені канали: ключ до початкового доступу

Стратегія атаки PlushDaemon часто використовує вразливості веб-серверів і захоплює законні канали оновлення програмного забезпечення. Група отримала початковий доступ, вставивши небезпечний код у програму встановлення NSIS програмного забезпечення VPN, яке поширюється через веб-сайт ipany.kr. Скомпрометований інсталятор одночасно доставив законне програмне забезпечення та бекдор SlowStepper.

Цільовий обсяг і віктимологія

Атака потенційно вплинула на будь-яку особу, яка завантажувала мінований інсталятор. Докази свідчать про спроби встановлення скомпрометованого програмного забезпечення в мережах, пов’язаних з південнокорейською компанією з виробництва напівпровідників і невідомим розробником програмного забезпечення. Перші жертви були ідентифіковані в Японії та Китаї наприкінці 2023 року, що свідчить про широке поширення групи.

Складний ланцюжок атак: розгортання SlowStepper

Атака починається із запуску інсталятора ("IPanyVPNsetup.exe"), який налаштовує постійність і запускає завантажувач ("AutoMsg.dll"). Цей завантажувач ініціює виконання коду оболонки, видобуваючи та завантажуючи небезпечні файли DLL за допомогою законних інструментів, таких як "PerfWatson.exe". Останній етап передбачає розгортання SlowStepper з файлу з нешкідливою назвою ('winlogin.gif').

Зменшена версія: SlowStepper Lite

Дослідники визначили «полегшений» варіант SlowStepper, який використовувався в цій кампанії, який містить менше функцій, ніж повна версія. Незважаючи на це, він зберігає значні можливості, забезпечуючи комплексне спостереження та збір даних за допомогою інструментів, розміщених на GitCode, китайському сховищі коду.

Командування та управління: багатоетапний підхід

SlowStepper використовує надійний багатоступінчастий протокол командування та управління (C&C). Спочатку він запитує DNS-сервери для запису TXT, щоб отримати IP-адреси для зв’язку. Якщо це не вдається, він повертається до вторинного методу, використовуючи API для вирішення резервного домену.

Масштабне шпигунство: модульні можливості SlowStepper

Бекдор SlowStepper оснащений широким набором інструментів для збору інформації, що дозволяє збирати дані з:

• Популярні веб-браузери – Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser і Mozilla Firefox
• Робіть зображення та записуйте екрани.
• Збирайте конфіденційні документи та дані програм – txt, .doc, .docx, .xls, .xlsx, .ppt і .pptx, а також інформацію з таких програм, як LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin і ToDesk.
• Записуйте повідомлення чату з платформи DingTalk.
• Отримати пакети Python, які не є шкідливими.
• FileScanner і FileScannerAllDisk аналізують систему, щоб знайти файли.
• getOperaCookie витягує файли cookie з браузера Opera.
• Розташування визначає IP-адресу комп’ютера та GPS-координати.
• qpass збирає інформацію з браузера Tencent QQ, який, можливо, можна замінити модулем qqpass.
• qqpass і Webpass збирають паролі з різних браузерів, зокрема Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome і UC Browser.
• ScreenRecord записує записи екрана.
• Telegram витягує інформацію з Telegram.
• WeChat отримує дані з платформи WeChat.
• WirelessKey збирає інформацію про бездротову мережу та пов’язані з нею паролі.

Унікальні функції включають можливість запуску спеціальної оболонки для виконання віддаленого корисного навантаження та модулів Python для конкретних завдань.

Акцент на шпигунстві та крадіжці даних

Модульна конструкція бекдора дозволяє цільовий збір даних, таких як повідомлення чату від DingTalk і WeChat, паролі браузера та дані про місцезнаходження системи. Додаткові інструменти підтримують функцію зворотного проксі-сервера та завантаження файлів, розширюючи можливості шпигунства.

Зростаюча загроза: еволюція PlushDaemon

Великий набір інструментів PlushDaemon і його відданість безперервному розвитку роблять його надзвичайною сутністю. Операції групи з 2019 року підкреслюють чітку спрямованість на створення складних інструментів, позиціонуючи їх як значну загрозу в ландшафті кібербезпеки.

Висновок: пильність проти нових загроз

Атаки на ланцюг поставок PlushDaemon і розширені можливості підкреслюють важливість пильності в спільноті кібербезпеки. Націлившись на надійні канали розповсюдження програмного забезпечення, група продемонструвала свою здатність проникати в мережі та проводити складні шпигунські кампанії.