Phần mềm độc hại Backdoor SlowStepper

Vào năm 2023, một nhóm Đe dọa dai dẳng nâng cao (APT) liên kết với Trung Quốc trước đây chưa được ghi nhận, PlushDaemon, đã xuất hiện trên radar an ninh mạng sau một cuộc tấn công chuỗi cung ứng tinh vi vào một nhà cung cấp VPN của Hàn Quốc. Cuộc tấn công này liên quan đến việc thay thế trình cài đặt hợp pháp bằng phiên bản bị xâm phạm và triển khai cấy ghép đặc trưng của chúng, SlowStepper.

SlowStepper: Một Backdoor đa năng trong kho vũ khí của PlushDaemon

Trọng tâm trong hoạt động của PlushDaemon là SlowStepper, một backdoor giàu tính năng tự hào có bộ công cụ gồm hơn 30 thành phần. Được viết bằng C++, Python và Go, backdoor này đóng vai trò là công cụ chính của nhóm để do thám và xâm nhập. SlowStepper đã được phát triển từ ít nhất năm 2019, phát triển qua nhiều lần lặp lại, với phiên bản mới nhất được biên soạn vào tháng 6 năm 2024.

Kênh bị tấn công: Chìa khóa để truy cập ban đầu

Chiến lược tấn công của PlushDaemon thường khai thác lỗ hổng trong máy chủ Web và chiếm đoạt các kênh cập nhật phần mềm hợp lệ. Nhóm này đã có được quyền truy cập ban đầu bằng cách nhúng mã không an toàn vào trình cài đặt NSIS của phần mềm VPN được phân phối qua trang web 'ipany.kr'. Trình cài đặt bị xâm phạm đồng thời phân phối phần mềm hợp lệ và cửa hậu SlowStepper.

Phạm vi mục tiêu và nạn nhân

Cuộc tấn công có khả năng ảnh hưởng đến bất kỳ thực thể nào tải xuống trình cài đặt bẫy. Bằng chứng cho thấy nỗ lực cài đặt phần mềm bị xâm phạm trong các mạng liên quan đến một công ty bán dẫn của Hàn Quốc và một nhà phát triển phần mềm không xác định. Các nạn nhân ban đầu được xác định ở Nhật Bản và Trung Quốc vào cuối năm 2023, phản ánh phạm vi tiếp cận rộng rãi của nhóm.

Chuỗi tấn công phức tạp: Triển khai SlowStepper

Cuộc tấn công bắt đầu bằng việc thực thi trình cài đặt ('IPanyVPNsetup.exe'), thiết lập tính bền bỉ và khởi chạy trình tải ('AutoMsg.dll'). Trình tải này khởi chạy shellcode, trích xuất và tải các tệp DLL không an toàn bằng các công cụ hợp pháp như 'PerfWatson.exe'. Giai đoạn cuối cùng liên quan đến việc triển khai SlowStepper từ một tệp có tên vô hại ('winlogin.gif').

Phiên bản thu nhỏ: SlowStepper Lite

Các nhà nghiên cứu đã xác định biến thể 'Lite' của SlowStepper được sử dụng trong chiến dịch này, bao gồm ít tính năng hơn phiên bản đầy đủ. Mặc dù vậy, nó vẫn giữ được các khả năng đáng kể, cho phép giám sát toàn diện và thu thập dữ liệu thông qua các công cụ được lưu trữ trên GitCode, một kho lưu trữ mã của Trung Quốc.

Chỉ huy và kiểm soát: Một cách tiếp cận nhiều giai đoạn

SlowStepper sử dụng giao thức Command-and-Control (C&C) nhiều giai đoạn mạnh mẽ. Đầu tiên, nó truy vấn máy chủ DNS để lấy bản ghi TXT nhằm tìm địa chỉ IP để giao tiếp. Nếu không thành công, nó sẽ chuyển sang phương pháp thứ cấp, sử dụng API để giải quyết miền dự phòng.

Gián điệp quy mô lớn: Khả năng mô-đun của SlowStepper

Cửa hậu SlowStepper được trang bị nhiều công cụ để thu thập thông tin, cho phép thu thập dữ liệu từ:

• Các trình duyệt web phổ biến - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, trình duyệt Cốc Cốc, UC Browser, 360 Browser và Mozilla Firefox
• Chụp ảnh và ghi lại màn hình.
• Thu thập các tài liệu nhạy cảm và dữ liệu ứng dụng - txt, .doc, .docx, .xls, .xlsx, .ppt và .pptx, cũng như thông tin từ các ứng dụng như LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin và ToDesk.
• Ghi lại tin nhắn trò chuyện từ nền tảng DingTalk.
• Truy xuất các gói Python không gây hại.
• FileScanner và FileScannerAllDisk phân tích hệ thống để xác định vị trí tệp.
• getOperaCookie trích xuất cookie từ trình duyệt Opera.
• Vị trí xác định địa chỉ IP và tọa độ GPS của máy tính.
• qpass thu thập thông tin từ Trình duyệt Tencent QQ, có thể được thay thế bằng mô-đun qqpass.
• qqpass và Webpass thu thập mật khẩu từ nhiều trình duyệt khác nhau, bao gồm Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome và UC Browser.
• ScreenRecord ghi lại màn hình.
• Telegram trích xuất thông tin từ Telegram.
• WeChat lấy dữ liệu từ nền tảng WeChat.
• WirelessKey thu thập thông tin chi tiết về mạng không dây và mật khẩu liên quan.

Các tính năng độc đáo bao gồm khả năng khởi chạy shell tùy chỉnh để thực thi các tải trọng từ xa và các mô-đun Python cho các tác vụ cụ thể.

Tập trung vào gián điệp và trộm cắp dữ liệu

Thiết kế mô-đun của backdoor cho phép thu thập dữ liệu có mục tiêu, chẳng hạn như tin nhắn trò chuyện từ DingTalk và WeChat, mật khẩu trình duyệt và dữ liệu vị trí hệ thống. Các công cụ bổ sung hỗ trợ chức năng proxy ngược và tải xuống tệp, tăng cường khả năng do thám của nó.

Mối đe dọa ngày càng tăng: Sự tiến hóa của PlushDaemon

Bộ công cụ mở rộng của PlushDaemon và cam kết phát triển liên tục khiến nó trở thành một thực thể đáng gờm. Hoạt động của nhóm kể từ năm 2019 nhấn mạnh vào việc tập trung rõ ràng vào việc tạo ra các công cụ tinh vi, định vị nó là mối đe dọa đáng kể trong bối cảnh an ninh mạng.

Kết luận: Cảnh giác trước các mối đe dọa mới nổi

Các cuộc tấn công chuỗi cung ứng và khả năng tiên tiến của PlushDaemon nhấn mạnh tầm quan trọng của sự cảnh giác trong cộng đồng an ninh mạng. Bằng cách nhắm mục tiêu vào các kênh phân phối phần mềm đáng tin cậy, nhóm này đã chứng minh được khả năng xâm nhập mạng và thực hiện các chiến dịch gián điệp phức tạp.